ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
Denunciar
Sylvain MaretSeguir
11 de Nov de 2012•0 gostou•1,803 visualizações
3 gostaram
Seja o primeiro a gostar disto
mostrar mais
visualizações
Vistos totais
0
No Slideshare
0
De incorporações
0
Número de incorporações
0
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
11 de Nov de 2012•0 gostou•1,803 visualizações
3 gostaram
Seja o primeiro a gostar disto
mostrar mais
visualizações
Vistos totais
0
No Slideshare
0
De incorporações
0
Número de incorporações
0
Baixar para ler offline
Denunciar
Tecnologia
Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution maintenant éprouvée depuis longtemps pour répondre à ce besoin. Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.
Sylvain MaretSeguir
Recomendados
Introduction à la sécurité des WebServicesConFoo
Securite des Web Services
(SOAP vs REST) / OWASP Geneva dec. 2012Sylvain Maret
Securisation des web services soap contre les attaques par injectionZakaria SMAHI
ASFWS 2012 WS Security - REST vs SOAP par Sylvain MaretCyber Security Alliance
Sécurité des web services soapZakaria SMAHI
Chp5 - Sécurité des ServicesLilia Sfaxi
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
- Initiation à la sécurité des Web Services (SOAP vs REST) Sylvain MARET Principal Consultant / MARET Consulting OpenID Switzerland & OWASP Switzerland Application Security Forum - 2012 Western Switzerland 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch 08.11.2012, Version 1.1 @smaret
- 2 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 3 Bio 18 years of experience in ICT Security Principal Consultant at MARET Consulting Expert at Engineer School of Yverdon Swiss French Area delegate at OpenID Switzerland Co-founder Geneva Application Security Forum OWASP Member Author of the blog: la Citadelle Electronique http://ch.linkedin.com/in/smaret or @smaret http://www.slideshare.net/smaret Chosen field – AppSec & Digital Identity Security
- 4 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 5 Web Service: la base….
- 6 Web Service ? XML, JSON, Provider Consumer etc.
- 7 Un peu d’histoire 1990 : DCE/RPC – Distributed Computing Environment 1992 : CORBA – Common Object Request Broker Architecture 1990-1993 : Microsoft’s DCOM -- Distributed Component Object Model 1995: RMI – Monde Java Pour arriver à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces – SOAP – REST – Etc. Web Service
- 8 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 9 SOAP vs REST ?
- 10 SOAP: Les ingrédients
- 11 SOAP: Démystification des technologies Langages – XML – WSDL : Descripteur du service – UDDI: Annuaire des services Protocoles – Transport: HTTP, HTTPS, SMTP, FTP, SMS, TFTP, SSH, etc. (TCP or UDP) – Message: Enveloppe SOAP Sécurité – WS-Security (Signature & Chiffrement) Autres éléments – AuthN: SAML, X509, Username & Password, Kerberos, HTTP Digest, etc.
- 12 Enveloppe SOAP - SOAP : Simple Object Access Protocol - Permet l’envoi de messages XML - Agnostique au moyen de transport - HTTP - HTTPS - FTP - etc. Source= wikipédia
- 13 SOAP request SOAP response
- 14 UDDI Universal Description Discovery and Integration, connu aussi sous l'acronyme UDDI, est un annuaire de services fondé sur XML et plus particulièrement destiné aux services Web.
- 15 WSDL WSDL est une grammaire XML permettant de décrire un Service Web. Le WSDL sert à décrire : – le format de messages requis pour communiquer avec ce service – les méthodes que le client peut invoquer – la localisation du service – le protocole de communication (SOAP RPC ou SOAP orienté message) http://fr.wikipedia.org/wiki/Web_Services_Description_Language
- 16 WSDL http://predic8.com/wsdl-reading.htm
- 17 WSDL: exemple
- 18 SOAP: Démystification des protocoles Découverte UDDI Description WSDL Message SOAP / XML HTTP, HTTPS, FTP, SFTP, SMS, SMTP Protocole (TCP or UDP) Transport IP
- 19 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 20 REST: Les ingrédients
- 21 REST: Démystification des technologies Langages – XML – JSON – XHTML, HTML, PDF... as data formats Protocoles – HTTP(s) Utilisation d’une URL – Méthode de communication (GET, POST, PUT, DELETE) Sécurité – Sécurité du transport (SSL/TLS) – Sécurité des messages: HMAC & Doseta (Like XML Signature) Autres éléments – Oauth, API Keys
- 22 Représentation REST (exemple JSON)
- 23 Méthodes REST
- 24 REST: Démystification des protocoles Découverte ??? Description WADL, Swagger *** Message XML, JSON, etc. Protocole HTTP, HTTPS Transport TCP/IP *** Avant-gardiste mais peux utiliser
- 25
- 26 SOAP vs REST
- 27 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 28 http://fr.wikipedia.org/wiki/Diagramme_de_flux_de_donn%C3%A9es
- 29
- 30 Modèle STRIDE https://www.owasp.org/index.php/Application_Threat_Modeling
- 31 Menaces selon le DFD Acme SA Threat 1 – Interception des messages (Information disclosure) – Modification des messages (Tampering) – Usurpation d’identité (Spoofing) Threat 2 – Attaque de l’application • BoF • Injection • DoS & DDoS • Etc
- 32 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 33 ACME SA: Réduction des risques ? Chiffrement du transport AuthN SSL Mutual AuthN / X509 WAF / XML Gateway Intégrité et confidentialité des messages Secure Coding
- 34 Chiffrement du transport SOAP / XML REST HTTPS HTTPS SSL/TLS tunnel SSH IPSEC Etc.
- 35 AuthN SOAP / XML REST HTTP Basic, Digest, HTTP Basic, Digest, HTTP Header HTTP Header Mutual SSL Mutual SSL IP trust IP trust WS Security user name password Oauth WS SAML Authentication token API Keys XML Signature Kerberos Etc.
- 36 SSL Mutual AuthN / X509 / PKI SOAP / XML REST SSL/TLS Mutual AuthN** SSL/TLS Mutual AuthN** ** Man in the middle not possible… (As I Know)
- 37 WAF / XML Gateway (Protection périmétrique) SOAP / XML REST Reverse Proxy Reverse Proxy Contrôle requêtes HTTP Contrôle requêtes HTTP Rupture SSL/TLS Rupture SSL/TLS Black List Black List White List White List Validation WSDL Signature & Verification Encryption & Decryption SAML
- 38 Intégrité et confidentialité des messages SOAP / XML REST XML Signature •(p.ex: HMAC, Doseta) XML Encryption • JSON Signature • ** ** Pas de chiffrement à ma connaissance
- 39 Code security SOAP / XML REST - Data input validation - Data input validation - Data output encoding - Data output encoding - Pseudorandom data generation, high - Pseudorandom data generation, high entropy entropy - Strong / reliable data encryption algorithms - Strong / reliable data encryption algorithms - Data leakage prevention - Data leakage prevention - Robust error & exception handling - Robust error & exception handling - Anti-automation and expiration measures - Anti-automation and expiration measures OWASP Application Security Verification Standard (ASVS): https://www.owasp.org/index.php/ASVS WASC web application weaknesses: http://projects.webappsec.org/w/page/13246978/Threat%20Classification
- 40 REST & OAuth
- 41 Agenda Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions
- 42 Conclusion SOAP: – Implémenter les standards WS-* liés à la sécurité – Mettre en place un filtrage applicatif (WAF, XML GW) – Complexe à mettre en œuvre (PKI, Secure coding, Cryptography, etc.) – Architecture à forte contrainte de sécurité REST – Mettre en place un filtrage applicatif (WAF, XML GW) – Implémentation rapide et facile tendance – Architecture de type Cloud, Intranet, Social Login, etc. On attend avec impatience les standards sécu pour REST ??? – Pragmatique: protection périmétrique, chiffrement et Secure Coding ???
- 43 Pour aller plus loin….
- 44 Questions?
- 45 Merci / Thank you! Contact: sma@maret-consulting.ch @smaret http://www.maret-consulting.ch Slides: http://slideshare.net/ASF-WS/