EXCELLIUM SERVICES SA
After having worked for around 11 years in the development domain, I moved to security side officially in 2015 to really focus on the application security domain.
My objective was (and is still) to help development/security teams to integrate the security aspect into the entire life cycle of an application using a pragmatic and effective approach/mindset.
In addition to this professional aspect, I am strongly invested in the OWASP foundation (https://owasp.org/), precisely, their Open Source projects to contribute (and lead) to them to share the knowledge and practices about securing software in addition to continuously learn new technics too from enthusiastic people around the world.
Twitter : @righettod
Blog: https://righettod.eu
Track : Architecture, Performance and Security
Type de présentation : Tools-in-Action
Lorsque nous entendons parler de sécurité dans le monde du Web, nous entendons souvent parler de vulnérabilité affectant le côté serveur (injection SQL, contournement d'authentification ou des autorisations, etc.). Cependant, les pirates ciblent également les utilisateurs via des vulnérabilités déclenchées côté client (injection de code JavaScript, HTML, CSS, etc.) leur permettant d'effectuer des opérations en usurpant l’identité de l'utilisateur.
Dans cette bataille nous ne sommes pas seul, nous avons un allié de poids sous la forme du navigateur lui-même, en effet, les navigateurs modernes offrent différentes capacités de sécurité permettant de rendre plus difficile l'exploitation de certaines vulnérabilités. Parmi elles, ils supportent une gamme d'en-têtes HTTP permettant de transformer le navigateur en cage, en y sellant le code malveillant.
Cette session a pour objectif de vous présenter, avec l'aide du projet OWASP Secure Headers, une collection d'en-têtes HTTP que vous pouvez utiliser dans vos applications web pour rendre la vie des pirates significativement plus complexe.