[C4] "15 years building web application defenses"
by Matthieu Estrade

Author: Matthieu Estrade (@mestrade)
Language: French
Country: France
Date & Time: Wed.. 2, nov. - 14:15 to 15:15

In 2000, port 80 was one of the few ports opened on firewall, HTTP request and response became the best attack vector to compromise an organisation. Web applications were powered by Apache, with mostly some static content, and few dynamic execution. To block this new kind of attacks, Web application firewall have been created to defend web applications, with more or less success.
Because web applications security requires a full understanding of network, OS, application and code security, it has been a big challenge these last 15 years to keep Web applications secured. This presentation is a retrospective of web defenses during these last 15 years, what kind of features are used, how it was used, and how it's used today, how defenses were adapted and improved to support new web application technology, who was using web application firewall, who is using it today, what are the benefits and constraint of such defenses. (the presentation will focus on some detection techniques with implementation details)
To finish we look have a look of all upcoming new defense technologies that new IT and security organisation will enable.

Biography: Directeur technique (CTO) de Qualys pour la région EMEA , il possède plus de 15 années d’expérience dans le domaine de la sécurité des réseaux et des applications. Matthieu Estrade est actuellement en charge de la Stratégie Produits et de tous les aspectsopérationnels liés à la plate-forme QualysGuard et à son infrastructure dans la régionEMEA.
Avant de rejoindre Qualys, Matthieu a occupé des postes à responsabilité chez Bee Ware, en tant que CTO et responsable Produits. C’est chez cet éditeur de solutions desécurisation des applications Web qu’il a dirigé l’équipe de développement, assuré lesupport des clients et développé des brevets pour le compte de Bee Ware. En outre,  Matthieu est membre du Conseil d’administration du consortium WASC (Web Application Security Consortium) et a contribué à de nombreux projets WASC. Il s’investit aussi dans la Fondation Apache et au sein du Chapitre français du projet OWASP (Open Web Application Security Project).