Bypass et filtre sur les requêtes destinées à la servlet W4

Transcription

1 Note technique W4 Engine Bypass et filtre sur les requêtes destinées à la servlet W4 Cette note technique décrit le filtre de contrôle du bypass de la servlet W4. Versions de W4 Engine concernées : 5.0 et ultérieures. Sommaire 1 Présentation 3 2 Autorité de confiance : développeur 4 3 Autorité de confiance : administrateur 6 4 Bilan 10 Référence : W4TN_BYPASS_002_FR

2 Note technique W4 Engine Bypass et filtre sur les requêtes destinées à la servlet W W4. Tous droits réservés. L'acquisition du présent document confère un droit d'utilisation incessible, non exclusif et personnel et non un droit de propriété. L'utilisation, la copie, la reproduction et la distribution du présent document sont permises à condition : 1. que la mention de droits d'auteur ci-dessus figure sur toutes les copies et que cette mention de droits d'auteur et la présente mention d'autorisation apparaissent conjointement ; 2. que le présent document ne soit utilisé qu'à des fins d'information et non commerciales ; 3. que le présent document ne soit modifié de quelque manière que ce soit. Tous les produits et marques cités sont la propriété de leurs titulaires respectifs. Les informations contenues dans ce document pourront faire l objet de modifications sans préavis.

3 1 Présentation La servlet W4 offre une fonctionnalité permettant à un acteur W4 authentifié d outrepasser provisoirement ses droits. L utilisation de cette fonctionnalité est du ressort du développeur qui en conserve le contrôle. Toutefois, dans certains cas, cette fonctionnalité peut présenter une faille de sécurité permettant à un utilisateur mal intentionné d obtenir ces droits étendus. Le mode de droits étendus, appelé bypass du fait que son utilisation se traduit par l ajout de bypass=1 sur l URL d appel à la servlet W4, est apparu de longue date dans les API W4. Il est nécessaire du fait que chaque API W4 possède une exigence en termes de droits, ce qui signifie que pour pouvoir exécuter certaines API, un acteur W4 doit posséder certains droits, donc certains rôles. Par exemple, pour utiliser les API dites «protégées» telles wfcancelcase() ou wfdeletecase(), il faut posséder le rôle de responsable du dossier, ou le rôle système coordinator. De telles API administratives ne sont pas censées être utilisées par un acteur lambda, simple utilisateur. Toutefois, les besoins fonctionnels ont révélé qu il est très apprécié par les utilisateurs de pouvoir annuler un dossier qu ils viennent de créer par erreur, et en effacer toute trace dans la base de données. Cette fonctionnalité est souvent offerte au sein des applications via l ajout d un bouton «annuler» sur la première étape du dossier (il est en effet en général mal venu de supprimer un dossier qui a déjà progressé au-delà de la première tâche). Ainsi le besoin est le suivant : un simple utilisateur, qui vient de créer un dossier, réalise qu il s est trompé, et souhaite en effacer toute trace. Ceci se traduit en terme d API par l appel consécutif de deux API W4 : wfcancelcase() et wfdeletecase(). Ces API requérant des droits étendus que l on ne souhaite pas donner aux simples utilisateurs, sont donc impossibles à utiliser dans ce cas. Seulement, le besoin fonctionnel est réel et permettre à un simple utilisateur de réaliser cette action est très apprécié. Et ceci n est qu un exemple, il existe en effet plusieurs autres cas similaires. D où la nécessité de pouvoir donner temporairement des droits étendus à de simples utilisateurs. L utilisation de la clé bypass=1 étant régie par le code source de la page, elle est donc contrôlée par le développeur, ce qui assure qu elle sera bien utilisée uniquement aux endroits désirés. 3 NOTE TECHNIQUE Présentation

4 2 Autorité de confiance : développeur 2.1 Conditions d apparition de la faille Toutefois un risque existe. En effet la servlet W4, lorsqu elle est en mode décrypté, reçoit tous ses paramètres sous forme d une URL, clairement visible par l utilisateur dans son navigateur. Le bypass étant lui aussi un simple paramètre, il apparaît également clairement dans l URL du navigateur. Par exemple, l URL suivante checklogin&id=2652&lid=589833&wfs=w4adm&lg=fr&template=templates/workite ms.jsp&inv1=taskref.canceltask&inv1.taskref.id=2797&inv2=workcaseref.can celcase&inv2.workcaseref.id=2796&inv2.cancelcase.confirm.boolean=true&in v3=workcaseref.deletecase&inv3.workcaseref.id=2796 exécutée par un simple utilisateur se soldera par une erreur 3040 : «insufficient privileges». Toutefois, si depuis son navigateur, l utilisateur ajoute lui-même bypass=1 comme suit checklogin&id=2652&lid=589833&wfs=w4adm&lg=fr&template=templates/workite ms.jsp&inv1=taskref.canceltask&inv1.taskref.id=2797&inv2=workcaseref.can celcase&inv2.workcaseref.id=2796&inv2.cancelcase.confirm.boolean=true&in v3=workcaseref.deletecase&inv3.workcaseref.id=2796&bypass=1 la requête sera acceptée par la servlet W4, qui pensera que l ordre est sous contrôle du développeur. Remarque La partie colorée des URL d exemple représente le contexte de session W4, partie sensible de l URL. 2.2 Utilisation sûre de la fonctionnalité Il convient finalement de ne pas permettre à l utilisateur d ajouter simplement bypass=1 dans l URL. W4 BPM Suite NOTE TECHNIQUE 4 Bypass et filtre sur les requêtes destinées à la servlet W4

5 La servlet W4 offre une solution à ce problème : l utilisation du mode de cryptage des URL. Dans ce mode, tout ou partie de l URL peut-être cryptée. Au minimum, le contexte de session w4 est crypté. Par exemple, voici l appel d une corbeille dans une application dans laquelle le mode de cryptage d URL est activé pour la servlet W4. ofvfw9n1cx1mwlmv20uwdayfh5fnwlzpifyag0azy9l%2bddq0vdk8krbm&inv=session.c hecklogin&template=templates/workitems.jsp L argument arg= illustré par la partie colorée de l URL regroupe la partie cryptée de l URL. Il s agit ici du minimum, c est-à-dire le contexte de session W4. Appliqué à l exemple énoncé à la section 3.1, on obtient l URL suivante : &inv=session.checklogin&template=templates/workitems.jsp&inv1=taskref.ca nceltask&inv1.taskref.id=2797&inv2=workcaseref.cancelcase&inv2.workcaser ef.id=2796&inv2.cancelcase.confirm.boolean=true&inv3=workcaseref.deletec ase&inv3.workcaseref.id=2796&bypass=1 Cette fois, malgré la présence du paramètre bypass=1, le moteur renverra l erreur 3040 : «insufficient privileges». En effet, la servlet W4 étant en mode crypté, elle refusera tout bypass=1 écrit en clair dans l URL, c est-à-dire potentiellement inséré par l utilisateur. Afin d être accepté, le paramètre bypass=1 doit être inséré dans la partie cryptée, ce qui ne peut être fait que par le développeur. Afin d ajouter le paramètre «bypass=1» dans la partie cryptée de l URL, le développeur doit s appuyer sur la méthode writectx(" ") de l objet fr.w4.session.twfsessioncontext de l API Java W4. Par exemple, pour reprendre l URL précédente, le code JSP de la page produisant ce lien contiendra un code du type : <form method="post" action=" ritectx("bypass=1")%>&inv=session.checklogin&template=templates/workitem s.jsp&inv1=taskref.canceltask&inv1.taskref.id=2797&inv2=workcaseref.canc elcase&inv2.workcaseref.id=2796&inv2.cancelcase.confirm.boolean=true&inv 3=workcaseRef.deleteCase&inv3.workcaseRef.id=2796" name="taskcontrol"> La partie colorée présente la manière d inclure des données dans la partie cryptée de l URL, ici seulement bypass=1, mais il n y aucune limite. 5 NOTE TECHNIQUE Autorité de confiance : développeur

6 3 Autorité de confiance : administrateur 3.1 Quel besoin? Dans certains cas particulièrement sensibles, il peut être nécessaire de contrôler le champ d action du développeur, qui contrôle lui-même le champ d action de l utilisateur. En effet, en général le développeur a tout loisir d utiliser le bypass comme bon lui semble, mais ceci peut être changé, pour peu que l on déplace le rôle d autorité de confiance du développeur à l administrateur du serveur d application qui exécutera le code du développeur. 3.2 Le filtre TWFBypassFilter La norme J2EE propose une fonctionnalité intéressante dans ce cas : les filtres. Il s agit de classes Java appelées automatiquement par le serveur d application lorsque se produisent les actions définies par l administrateur. Typiquement, il est possible d imposer à chaque requête destinée à une servlet Java de devoir passer par un filtre destiné à la contrôler. C est le procédé employé par W4. Ainsi l API Java W4, en plus de contenir la servlet Java W4, offre également une base de filtre nommée TWFBypassFilter. Il s agit d un filtre conçu pour travailler sur des requêtes destinées à la servlet W4, pour les comprendre et les simplifier, avant finalement de les soumettre à une classe «métier» aisée à développer permettant d effectuer tout traitement jugé adéquat. Le filtre gère toutes les requêtes destinées à la servlet W4, qu elles soient cryptées ou non. Ce filtre permet principalement deux opérations : Autoriser ou non une requête à avoir recours au paramètre bypass=1 Ajouter des paramètres à la requête en cours Une fois toutes les modifications nécessaires apportées à la requête, cette dernière poursuit son chemin jusqu à la servlet W4 pour traitement. Le filtre TWFBypassFilter gère parfaitement le chaînage de filtres. W4 BPM Suite NOTE TECHNIQUE 6 Bypass et filtre sur les requêtes destinées à la servlet W4

7 3.3 Mise en œuvre : configuration Il n est pas nécessaire de déployer une autre librairie afin de profiter des fonctionnalités du filtre TWFBypassFilter ; il est inclus dans la librairie Java W4. Afin d être activée, une section doit déclarer l utilisation de ce filtre et son champ d action dans le fichier web.xml de l application souhaitant l activer : <! Declare the W4 filter and its associated user-defined class --> <filter> <filter-name>bypass Filter</filter-name> <filter-class> fr.w4.http.twfbypassfilter </filter-class> <init-param> <param-name>class.name</param-name> <param-value>mybypass</param-value> </init-param> </filter> <! Configure the filter to be used every time W4Servlet is called--> <filter-mapping> <filter-name> Bypass Filter </filter-name> <servlet-name>fr.w4.http.w4servlet</servlet-name> </filter-mapping> La section <filter> déclare le filtre et positionne le paramètre class.name qui représente le nom complet de la classe Java à laquelle le filtre délèguera l analyse des paramètres de l URL. Il s agit là typiquement d une classe développée sur mesure pour le client. La section <filter-mapping> définit le champ d action du filtre. Ici, il sera appelé lors de chaque appel de la servlet W4. Une fois ces deux champs positionnés, il sera impossible de passer outre le filtre. 3.4 Conception de la classe de contrôle Comme expliqué ci-dessus, le filtre TWFBypassFilter est un socle, qui délègue le travail d application de règles à la requête afin de déterminer si un bypass est autorisé, ainsi que le travail de modification éventuelle de la requête, à une classe de contrôle conçue sur mesure. Il s agit là d une simple classe Java, qui doit répondre à l exigence d implémenter l interface TWFbypassFilterAction. Ceci contraint à l écriture d une unique méthode : bypassallowed(). Cette méthode envoie un booléen. Si ce dernier vaut «vrai», un paramètre bypass=1 sera ajouté à la requête, sinon, tout paramètre bypass présent dans la requête sera supprimé. 7 NOTE TECHNIQUE Autorité de confiance : administrateur

8 Cette méthode reçoit en outre en paramètre un certain nombre d informations permettant d identifier précisément les ordres destinés à être exécutés par la servlet W4. Il est enfin possible d ajouter des paramètres ou des ordres W4 à la requête. Voici la classe MyBypass, exemple de classe de contrôle : import javax.servlet.*; import fr.w4.http.*; import fr.w4.marshal.*; import fr.w4.session.*; import fr.w4.utils.log.*; import fr.w4.buildtime.dynamic.*; import fr.w4.buildtime.ref.*; public class MyBypass implements TWFbypassFilterAction public boolean bypassallowed(twfservletrequest wfrequest, TWFsessionContext sessioncontext, ServletRequest request, ServletResponse response, FilterConfig filterconfig, FilterChain chain) throws TWFbypassFilterException TWFlog.log("Running custom rule."); TWFsession w4session = null; try w4session = TWFsessionFactory.createSession(sessionContext); w4session.openconnection(); // Values given as attributes will override request parameters // This line redefines the "inv5.workcaseref.id" value request.setattribute("inv5.workcaseref.id", "2812"); // This line redefines a multi-integer variable value String[] values = "1", "2", "3", "4"; request.setattribute("inv4.exittask.tvariable.var_multi_int.integer", values); // if logged actor is "w4fr1", bypass is authorized if found TWFactor actor = (new TWFactorRef(Integer.parseInt(wfRequest.getParameter("ID")))).wfGetActor( ); TWFlog.trace("ActorName: "+actor.getstr()); if("w4fr1".equals(actor.getstr())) return true; else return false; catch(numberformatexception e) W4 BPM Suite NOTE TECHNIQUE 8 Bypass et filtre sur les requêtes destinées à la servlet W4

9 TWFlog.log("No session found. First call to servlet?"); catch(exception e) TWFlog.log(e); finally if (w4session!= null) try w4session.closeconnection(); catch (Exception e) TWFlog.log(e); return false; Remarque Si pour une quelconque raison, une exception se produit durant le traitement de la classe de contrôle, tout bypass présent dans la requête sera supprimé. La classe de contrôle se compile comme une classe Java standard et peut être déployée sur le serveur d applications soit directement sous forme de byte-code.class soit sous forme compressée jar. Dans les deux cas, le fichier doit être impérativement déployé dans le même classloader que la bibliothèque wfjlib.jar, c est-à-dire souvent dans le même répertoire, sous peine d exception de type NoClassDefFoundError. 9 NOTE TECHNIQUE Autorité de confiance : administrateur

10 4 Bilan W4 offre des possibilités permettant de faire face à un maximum de situations client. Toutefois il s avère parfois nécessaire d effectuer des opérations dans un mode dit «de confiance», c est-à-dire que W4 abaissera sa vigilance et ses exigences en termes de droits d action sur certaines opérations. Le bypass en est un exemple. Dans ce cas W4 «fait confiance» au code Java s exécutant dans les pages JSP, c est-à-dire au développeur. L autorité de confiance est donc le développeur. En utilisant le filtre W4, il est possible de contrôler plus finement l utilisation du bypass de la servlet W4. Il s agit d un moyen de restreindre l utilisation possible du bypass pour le développeur. L autorité de confiance devient alors l administrateur du serveur d application qui installe le filtre, et s assure que toutes les applications l utilisent bien (via configuration dans le fichier web.xml des applications). W4 BPM Suite NOTE TECHNIQUE 10 Bypass et filtre sur les requêtes destinées à la servlet W4

11 Note technique W4 Engine Bypass et filtre sur les requêtes destinées à la servlet W4 Pour toute remarque ou suggestion concernant ce document, vous pouvez contacter le support technique W4, en précisant la référence W4TN_BYPASS_002_FR : par le service de traitement des dossiers Supportflow sur MyW4.com, à l adresse suivante : par courrier électronique : support@w4global.com par téléphone : 33 (0)