Initiation à la sécurité des Web Services (SOAP vs REST)

Transcription

1 Initiation à la sécurité des Web Services (SOAP vs REST) Sylvain MARET Principal Consultant / MARET Consulting OpenID Switzerland & OWASP Switzerland Application Security Forum Western Switzerland , Version 7-8 novembre Y-Parc / Yverdon-les-Bains

2 2 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

3 3 Bio 18 years of experience in ICT Security Principal Consultant at MARET Consulting Expert at Engineer School of Yverdon Swiss French Area delegate at OpenID Switzerland Co-founder Geneva Application Security Forum OWASP Member Author of the blog: la Citadelle Electronique Chosen field AppSec & Digital Identity Security

4 4 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

5 Web Service: la base. 5

6 6 Web Service? Consumer XML, JSON, etc. Provider

7 7 Un peu d histoire 1990 : DCE/RPC Distributed Computing Environment 1992 : CORBA Common Object Request Broker Architecture : Microsoft s DCOM -- Distributed Component Object Model 1995: RMI Monde Java Pour arriver à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces SOAP REST Etc. Web Service

8 8 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

9 SOAP vs REST? 9

10 SOAP: Les ingrédients 10

11 11 SOAP: Démystification des technologies Langages XML WSDL : Descripteur du service UDDI: Annuaire des services Protocoles Transport: HTTP, HTTPS, SMTP, FTP, SMS, TFTP, SSH, etc. (TCP or UDP) Message: Enveloppe SOAP Sécurité WS-Security (Signature & Chiffrement) Autres éléments AuthN: SAML, X509, Username & Password, Kerberos, HTTP Digest, etc.

12 12 Enveloppe SOAP - SOAP : Simple Object Access Protocol - Permet l envoi de messages XML - Agnostique au moyen de transport - HTTP - HTTPS - FTP - etc. Source= wikipédia

13 13 SOAP request SOAP response

14 14 UDDI Universal Description Discovery and Integration, connu aussi sous l'acronyme UDDI, est un annuaire de services fondé sur XML et plus particulièrement destiné aux services Web.

15 15 WSDL WSDL est une grammaire XML permettant de décrire un Service Web. Le WSDL sert à décrire : le format de messages requis pour communiquer avec ce service les méthodes que le client peut invoquer la localisation du service le protocole de communication (SOAP RPC ou SOAP orienté message)

16 16 WSDL

17 WSDL: exemple 17

18 18 SOAP: Démystification des protocoles Découverte UDDI Description WSDL Message SOAP / XML Protocole HTTP, HTTPS, FTP, SFTP, SMS, SMTP (TCP or UDP) Transport IP

19 19 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

20 REST: Les ingrédients 20

21 21 REST: Démystification des technologies Langages XML JSON XHTML, HTML, PDF... as data formats Protocoles HTTP(s) Utilisation d une URL Méthode de communication (GET, POST, PUT, DELETE) Sécurité Sécurité du transport (SSL/TLS) Sécurité des messages: HMAC & Doseta (Like XML Signature) Autres éléments Oauth, API Keys

22 Représentation REST (exemple JSON) 22

23 Méthodes REST 23

24 24 REST: Démystification des protocoles Découverte??? Description WADL, Swagger *** Message XML, JSON, etc. Protocole HTTP, HTTPS Transport TCP/IP *** Avant-gardiste mais peux utiliser

25 25

26 SOAP vs REST 26

27 27 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

28 28

29 29

30 30 Modèle STRIDE

31 31 Menaces selon le DFD Acme SA Threat 1 Interception des messages (Information disclosure) Modification des messages (Tampering) Usurpation d identité (Spoofing) Threat 2 Attaque de l application BoF Injection DoS & DDoS Etc

32 32 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

33 33 ACME SA: Réduction des risques? Chiffrement du transport AuthN SSL Mutual AuthN / X509 WAF / XML Gateway Intégrité et confidentialité des messages Secure Coding

34 34 Chiffrement du transport HTTPS SSL/TLS tunnel SSH IPSEC Etc. SOAP / XML HTTPS REST

35 35 AuthN SOAP / XML HTTP Basic, Digest, HTTP Header Mutual SSL IP trust WS Security user name password WS SAML Authentication token XML Signature Kerberos Etc. HTTP Basic, Digest, HTTP Header Mutual SSL IP trust Oauth API Keys REST

36 36 SSL Mutual AuthN / X509 / PKI SOAP / XML SSL/TLS Mutual AuthN** REST SSL/TLS Mutual AuthN** ** Man in the middle not possible (As I Know)

37 37 WAF / XML Gateway (Protection périmétrique) SOAP / XML Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List Validation WSDL Signature & Verification Encryption & Decryption SAML REST Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List

38 38 Intégrité et confidentialité des messages XML Signature XML Encryption SOAP / XML REST (p.ex: HMAC, Doseta) JSON Signature ** ** Pas de chiffrement à ma connaissance

39 39 Code security SOAP / XML - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures REST - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures OWASP Application Security Verification Standard (ASVS): WASC web application weaknesses:

40 REST & OAuth 40

41 41 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

42 42 Conclusion SOAP: Implémenter les standards WS-* liés à la sécurité Mettre en place un filtrage applicatif (WAF, XML GW) Complexe à mettre en œuvre (PKI, Secure coding, Cryptography, etc.) Architecture à forte contrainte de sécurité REST Mettre en place un filtrage applicatif (WAF, XML GW) Implémentation rapide et facile tendance Architecture de type Cloud, Intranet, Social Login, etc. On attend avec impatience les standards sécu pour REST??? Pragmatique: protection périmétrique, chiffrement et Secure Coding???

43 Pour aller plus loin. 43

44 Questions? 44

45 45 Merci / Thank you! Contact: Slides: