AFUP Forum PHP 2021 Baromètre Planète PHP
 

Se prémunir contre l’imprévisible : une analyse des failles les plus courantes en PHP

Description

Même avec des frameworks robustes et éprouvés, il est encore possible d’introduire des vulnérabilités dans les applications PHP.En prenant l’exemple de Symfony, et en se basant sur des cas concrets et inspirés d’histoires vraies, nous verrons qu’il est facile y compris pour des développeurs chevronnés de faire des petites erreurs aux conséquences potentiellement désastreuses.

À la tête d’une équipe chargée d’aider nos 80+ développeurs à construire des applications sans failles, j’ai pu répertorier les meilleures (et les pires) pratiques pour faire du code sécurisé.

Des contrôles d’accès bancals aux Cross Site Scripting involontaires, en passant par les injections DQL, nous verrons les principales vulnérabilités des applications Web peuvent s’introduire subrepticement dans une application PHP et, surtout, comment s’en prémunir.

À la fin de ce talk, vous aurez les idées claires sur la surface d’attaque de votre code applicatif, et sur les manières les plus simples de se protéger efficacement contre les vulnérabilités les plus courantes. Vous aurez toutes les clefs en main pour apporter une réelle culture de sécurité aux développeurs de votre équipe.

Conférence donnée lors du Forum PHP 2019, ayant eu lieu les 24 et 25 octobre 2019.

Informations complémentaires

Vidéo

Le speaker

Paul MOLIN

Paul est architecte développeur, membre de l'OWASP et évangéliste sécurité à Theodo. Après avoir suivi une formation en sécurité des systèmes d'information à Télécom ParisTech, il rejoint Theodo en 2013 et se passionne pour le développement Web. Très vite, il se spécialise sur les problématiques de sécurité en aidant les équipes de Theodo à réussir leurs audits post-mise en production. Il est conférencier au Web2Day en 2017, et explique aux développeurs pourquoi ils doivent et comment ils peuvent devenir des hackers. Convaincu que ce sont les développeurs qui parviendront à changer le monde de la sécurité, il anime des formations et développe des outils pour les aider à coder sans faille du premier coup.

Commentaires

Merci
Mickaël AUGER, le 24/10/2019
Pas très clair.
Damien Tricard, le 24/10/2019
Très instructif avec, précis et concis avec présentation du problème et proposition de solution. Plus qu'à améliorer la forme pour que ce soit un peu plus dynamique et ce serait nickel pour moi. Merci beaucoup !
Jordan Aubert, le 24/10/2019
Intéressant mais manque un peu de dynamisme et de clarté. Je n'ai pas forcément tout compris.
Sébastien Opsomer, le 24/10/2019
Conf. Intéressante mais manque de clarté
Nicolas F., le 24/10/2019
Le début était prometteur. Le milieu était un peu trop lent, la fin était intéressante mais clairement trop rapide. Par ailleurs pour les non-utilisateurs d’api-platform, je doute que le début ait été très pertinent, dommage qu’il n’y ait pas eu d’équivalent avec d’autres systèmes populaires. Mais le contenu reste très encourageant, à peaufiner un peu je dirais (IMHO)
Yohann Marillet, le 24/10/2019
Assez décu par cette conférence. Une reprise des failles classiques & connues. Une conf pas très claires. J'aurai aimé une approche différente en ne se servant pas de slide comme support mais de démo. Paul n'avait pas l'air très à l'aise, ce qui a déservir cette conférence
Stanley Jobson, le 28/10/2019