Cette partie sera itérative sur tous les sujets durant la journée. PHP, Drupal, Symfony, Zend:
Par exemple, nous exploiterons une faille implémenté en Drupal qui permet d’accéder à la base de donnée et par la suite nous allons corriger l’erreur dans le code, pour finalement vérifier que la vulnérabilité n’est plus présente.
Le participant cible est parmi les développeurs PHP qui ne sont pas déjà conscient des méthodes sécuritaires et/ou veulent un aperçu de la perspective d’un attaquant.
Si vous savez comment exécuter le code ci-dessous sans aucune erreur, notice ou avertissement en moins de deux minutes, cette formation n’est peut-être pas pour vous.
<?php $parts = array('PHP', 'Drupal', 'Symfony', 'Zend'); foreach ($parts as $p) { echo $p; eval($_GET['Faille'] . $p); mysql_query($_GET['Attaque'] . $p); file_get_contents($_POST['Solution'] . $p); if (system($_COOKIE['Verification'] . $p)) continue; else exit; } ?>
JM International
Jonathan is an Application Security Consultant that has published on the topic of threat modeling and is involved in NorthSec, a security event in Montreal. He is passionate about Application Security and enjoys architecture analysis, code review, cloud security and debunking security tools. Jonathan holds a bachelor's degree in Software Engineering from ETS Montreal and has 20 years of experience in Information Technology and Security.