Sécurité des frameworks J2EE
Naissance des injections de langages d'expression
!"#$"#%&'$
(')$$$
Ancien étudiant rouennais
*(+(,-+.
Expert sécurité pour la société Synacktiv
/"01+23
41++567+/)8#69#)1
!87:*;<=#
Prestations
/0
(
81
()1#+>
Qui suis-je?
8
Fournir une base commune pour :
?#'++
80@
8
Déléguer au framework les tâches récurrentes
( @
='
-')#
-$$$
Rappel des principaux objectifs des frameworks
8
Point de vue des développeurs
',A+
<#+>++)A2'$3
+##A'"&B&+#B$$$
8+++A'+ BB$$$
<'++ #+10'#
Point de vue des auditeurs et chercheurs en sécurité :
(++"++'1
))7+#CDEB718#&C78EB>
F<B$$$
-+"
-G
Framework synonyme de sécurité
7=,8
Vulnérabilités présentes depuis des années
"+++
<'>+1))H
-I&&'0'+'"
Vulnérabilités propres au Framework
*+++'++
*++0++C +E
Mais même origine
("+0'03@+
<##3";
!")#0@"&
État des lieux depuis 2010: exécution de code arbitraire
6
7
8
9
10
11
12
13
14
15
16
17
1
/
17
100%
