Quebec City

= Nouvelles OWASP Quebec City =

Avez-vous dit XSS ? (Cross-site Scripting)
La faille dite de Cross-site scripting (XSS) est une faille web bien connue des pirates informatiques. Sur un site web vulnérable, elle permet d’y injecter du code malicieux qui sera exécuté à partir du navigateur des visiteurs, ou plutôt, des victimes... Ces failles peuvent sembler bénignes de prime abord, mais lorsqu'elles sont exploitées malicieusement, elles deviennent un vecteur d'attaque puissant pour d'éventuels attaquants. Cette présentation se veut une introduction aux différents types de failles XSS de base.

Nous couvrirons plusieurs sujets relatifs aux failles XSS:

- Qu’est-ce que le XSS?

- Pourquoi devons-nous nous en préoccuper?

- Comment les découvrir

- Comment les tester via des scénarios d'attaques classiques

- Comment s'en prémunir

Conférencier
Johan Renaut

Analyste en sécurité de l'information

EGYDE Services & Conseils en sécurité de l'information

Lieu
Local P-451 du CÉGEP de Ste-Foy, Aile "P"

Horaire
18:00 - 18:30 Accueil

18:30 - 18:45 Communications OWASP Québec

18:45 - 19:45 Conférence: La sécurité applicative et le cycle de développement

19:45 - 20:00 Questions, discussions, débats, suites

20:00 - Réseautage

Stationnement
Le stationnement accessible à partir de la rue Nicolas Pinel est gratuit à partir de 18h00.

Gratuit, RSVP!
Comme à l'habitude, cet événement est gratuit et ouvert à tous. SVP, afin de nous permettre d'assurer une meilleure logistique [mailto:patrick.leclerc@owasp.org confirmez votre présence]

Indications


'''Nous sommes toujours à la recherche de conférenciers, de démonstrations ou de sujets de discussion. Manifestez-vous!'''

= Bienvenue =

Bienvenue sur la page d'accueil du chapitre OWASP Ville de Québec (OWASP Quebec City).


 * Le leader du chapitre est [mailto:patrick.leclerc@owasp.org Patrick Leclerc].
 * Le vice-leader est [mailto:yannick.berneron@owasp.org Yannick Berneron].
 * La responsable des évènements, commandites et communications est [mailto:annemarie.faber@owasp.org Anne-Marie Faber].

Vous pouvez vous inscrire à la liste de distribution OWASP Ville de Québec pour recevoir les dernières annonces et notifications de rencontres du chapitre. Vous pouvez aussi nous suivre sur:
 * @owaspquebec sur twitter.
 * OwaspQuebec sur facebook.
 * OWASP-Quebec sur LinkedIn.

'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour devenir membre OWASP'''

= Agenda = Les meetings OWASP ont lieu quelques fois par année et se déroulent généralement dans une salle prêtée par un commenditaire ou partenaire de l'OWASP. Maintenez-vous informé des prochaines rencontres en vous inscrivant à la liste OWASP Ville de Québec.

19 février 2014 | Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application

15 avril 2014 | La sécurité applicative et le cycle de développement

10 juin 2014 | Avez-vous dit XSS ? (Cross-site Scripting)

30 septembre 2014 | Retour sur l'AppSec USA 2014?

25 novembre 2014 | Sujet à venir

= Historique =

Première rencontre 2013 des membres OWASP Quebec City
Voici le contenu de la rencontre de lancement: http://www.slideshare.net/PatrickLeclerc/premire-rencontre-dowasp-qubec

Une première collaboration pour OWASP Quebec City et le Hackfest 2012
Le chapitre OWASP Québec a collaboré avec le Hackfest.ca pour obtenir les services de Jim Manico, membre actif OWASP et VP Architecture sécurité chez WhiteHat Security pour présenter une conférence sur les 10 meilleures techniques de programmation pour protéger les applications Web.

Conférence de Jim Manico au Hackfest 2012
Top Ten Web Defenses: We cannot hack or firewall our way secure. Application programmers need to learn to code in a secure fashion if we have any chance of providing organizations with proper defenses in the current threatscape. This talk will discuss the 10 most important security-centric computer programming techniques necessary to build low-risk web-based applications.

Développement d’une application sécurisée : étanchéité par le pipeline Web et le cadre d’application
Par le biais de techniques fort simples, l’application de règles applicatives centralisées très sévères et l’utilisation d’un cadre d’application (framework) approprié, il n’est pas utopique d’éliminer 100% des vulnérabilités d’une application Web et de son infrastructure sous-jacente. Mais, pour cela, l’application et son infrastructure doivent respecter un ensemble de conditions bien précises. Cette présentation très concrète fera un survol de la recette pour développer une application sécuritaire, même contre les erreurs des développeurs. Cette présentation veut provoquer la discussion sur certaines pratiques de développement et d’implantation de sites Web.

La sécurité applicative et le cycle de développement
Encore de nos jours la majorité des applications Web comportent des vulnérabilités, ces dernières représentent plus souvent qu'autrement des risques dont les organisations ignorent encore l'existence. Certaines organisations croient qu'un simple balayage de vulnérabilités parfois accompagné d'un test d'intrusion sont les seuls moyens d'identifier les risques, mais encore faut-il les corriger après! S'il y a des coûts à prévenir et mitiger les risques, ils sont décuplés lorsque nous avons à les corriger!

Dans cette présentation, découvrez comment identifier et mitiger vos risques de sécurité en les prenant en charge tout au long du cycle de développement. Vous avez intérêts, puisque depuis quelques années déjà, Gartner identifiait que 75% des attaques étaient dirigées sur les applications Web. Plusieurs firmes ont fait les manchettes ces dernières années, n'attendez pas votre tour.

= Participation = Les rencontres OWASP sont ouvertes à tous et gratuites. Nous encourageons l'échange informel sur tous sujets relatifs à la sécurité applicative. Toute personne intéressée par la sécurité applicative est la bienvenue aux rencontres. Les sujets principalement abordés sont:


 * Analyse et conception d'applications sécurisées
 * Techniques et méthodes de développement sécurisé
 * Évaluation et validation de la sécurité des applications (tests d'intrusion, recherche de vulnérabilités)
 * Sécurité d'architectures et technologies de développement logiciel
 * Gouvernance de la sécurité logicielle dans les organisations

Conférenciers / Intervenants Si vous souhaitez présenter un sujet lors d'une prochaine rencontre OWASP ou avez une question relative aux rencontres de la section OWASP Ville de Québec, n'hésitez pas à envoyer un email à [mailto:patrick.leclerc@owasp.org Patrick Leclerc]. Toute intervention orale (présentation, formation) lors d'un meeting OWASP est soumise à l'acceptation préalable du règlement des conférenciers.

'''Nos activités sont pour la plupart gratuites pour tous. Soyez plus que participants, devenez membre de notre communauté! Pour devenir membre OWASP'''

= Commandites = Quatre formules de sponsoring sont actuellement proposées aux organisations désireuses de soutenir la mission de l'OWASP: Pour toute information relative au sponsoring affilié à la section, merci de contacter [mailto:annemarie.faber@owasp.org Anne-Marie Faber] ou consulter la page memberships dédiée à cet effet.
 * Chapter Supporter: soutien financier annuel du chapitre OWASP Ville de Québec
 * Single Meeting Supporter: soutien financier ponctuel, pour un meeting spécifique du chapitre OWASP Ville de Québec
 * Facility Sponsor: publicité des évènements OWASP Quebec City et/ou mise à la disposition de salles équipées pour la tenue des meetings OWASP Ville de Québec
 * Organization Supporter: soutien financier annuel de la fondation OWASP + 40% de la cotisation reversés à la section affiliée (OWASP Quebec City)

= Contact et Newsletter = Pour nous contacter : [mailto:patrick.leclerc@owasp.org OWASP Ville de Québec] Pour s'inscrire à la liste de diffusion: liste OWASP Ville de Québec

Quebec City (Canada) Chapter