Initiation à la sécurité des Web Services (SOAP vs REST)



Documents pareils
Sécurité des Web Services (SOAP vs REST)

Le cadre des Web Services Partie 1 : Introduction

Oauth : un protocole d'autorisation qui authentifie?

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

4. SERVICES WEB REST 46

Vulnérabilités et sécurisation des applications Web

Programmation Web Avancée Introduction aux services Web

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Présentation de la solution Open Source «Vulture» Version 2.0

Groupe Eyrolles, 2004, ISBN :

Architecture Orientée Service, JSON et API REST

Tour d horizon des différents SSO disponibles

Cours Master Recherche RI 7 Extraction et Intégration d'information du Web «Services Web»

La citadelle électronique séminaire du 14 mars 2002

Introduction aux «Services Web»

Devoir Surveillé de Sécurité des Réseaux

Annexe C : Numéros de port couramment utilisés

Responsable du cours : Héla Hachicha. Année Universitaire :

Tutorial Authentification Forte Technologie des identités numériques

Retour d'expérience sur le déploiement de biométrie à grande échelle

Problématiques de recherche. Figure Research Agenda for service-oriented computing

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Systèmes d'informations historique et mutations

L3 informatique TP n o 2 : Les applications réseau

Les Services Web. Jean-Pierre BORG EFORT

Domain Name System Extensions Sécurité

Sécurité des réseaux sans fil

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

COMPRENDRE L ARCHITECTURE DES WEB SERVICES REST. Amosse EDOUARD, Doctorant

Les utilités d'un coupe-feu applicatif Web

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Sécurité des réseaux Les attaques

Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Hébergement de sites Web

Architecture JEE. Objectifs attendus. Serveurs d applications JEE. Architectures JEE Normes JEE. Systèmes distribués

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Sécurisation des architectures traditionnelles et des SOA

WEBSERVICES. Michael Fortier. Master Informatique 2ème année. A308, Université de Paris 13

18 TCP Les protocoles de domaines d applications

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Figure 1a. Réseau intranet avec pare feu et NAT.

La Sécurité des Données en Environnement DataCenter

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

TUNIS LE : 20, 21, 22 JUIN 2006

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Contrôle d accès Centralisé Multi-sites

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Architectures Web Services RESTful

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

1 LE L S S ERV R EURS Si 5

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Livre blanc sur l authentification forte

Vulnérabilités et solutions de sécurisation des applications Web

Etat des lieux sur la sécurité de la VoIP

Rappels réseaux TCP/IP

Internet of Things Part 1

Manuel des logiciels de transferts de fichiers File Delivery Services

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Programmation Internet Cours 4

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Présenté par : Ould Mohamed Lamine Ousmane Diouf

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Les technologies de gestion de l identité

Cours 14. Crypto. 2004, Marc-André Léger

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Introduction aux. services web 2 / 2

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Réseaux et protocoles Damien Nouvel

La fédération d identité Contexte, normes, exemples

Les Architectures Orientées Services (SOA)

Sécurité des réseaux IPSec

Applications et Services WEB: Architecture REST

Protection des protocoles

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Intégration d'applications à "gros grain" Unité d'intégration : le "service" (interface + contrat)

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Messagerie asynchrone et Services Web

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion

Gestion des certificats digitaux et méthodes alternatives de chiffrement

Systèmes répartis. Fabrice Rossi Université Paris-IX Dauphine. Systèmes répartis p.1/49

Mobile VPN Access (MVA)

Architecture SOA Un Système d'information agile au service des entreprises et administrations

OPC Factory Server- Réglage des paramètres de communication

L identité numérique. Risques, protection

Formation SSO / Fédération

Business Process Execution Language

Sécurité. Objectifs Gestion de PKI Signature Cryptage Web Service Security

Transcription:

Initiation à la sécurité des Web Services (SOAP vs REST) Sylvain MARET Principal Consultant / MARET Consulting OpenID Switzerland & OWASP Switzerland Application Security Forum - 2012 Western Switzerland 08.11.2012, Version 1.1 @smaret 7-8 novembre 2012 - Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

2 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

3 Bio 18 years of experience in ICT Security Principal Consultant at MARET Consulting Expert at Engineer School of Yverdon Swiss French Area delegate at OpenID Switzerland Co-founder Geneva Application Security Forum OWASP Member Author of the blog: la Citadelle Electronique http://ch.linkedin.com/in/smaret or @smaret http://www.slideshare.net/smaret Chosen field AppSec & Digital Identity Security

4 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

Web Service: la base. 5

6 Web Service? Consumer XML, JSON, etc. Provider

7 Un peu d histoire 1990 : DCE/RPC Distributed Computing Environment 1992 : CORBA Common Object Request Broker Architecture 1990-1993 : Microsoft s DCOM -- Distributed Component Object Model 1995: RMI Monde Java Pour arriver à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces SOAP REST Etc. Web Service

8 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

SOAP vs REST? 9

SOAP: Les ingrédients 10

11 SOAP: Démystification des technologies Langages XML WSDL : Descripteur du service UDDI: Annuaire des services Protocoles Transport: HTTP, HTTPS, SMTP, FTP, SMS, TFTP, SSH, etc. (TCP or UDP) Message: Enveloppe SOAP Sécurité WS-Security (Signature & Chiffrement) Autres éléments AuthN: SAML, X509, Username & Password, Kerberos, HTTP Digest, etc.

12 Enveloppe SOAP - SOAP : Simple Object Access Protocol - Permet l envoi de messages XML - Agnostique au moyen de transport - HTTP - HTTPS - FTP - etc. Source= wikipédia

13 SOAP request SOAP response

14 UDDI Universal Description Discovery and Integration, connu aussi sous l'acronyme UDDI, est un annuaire de services fondé sur XML et plus particulièrement destiné aux services Web.

15 WSDL WSDL est une grammaire XML permettant de décrire un Service Web. Le WSDL sert à décrire : le format de messages requis pour communiquer avec ce service les méthodes que le client peut invoquer la localisation du service le protocole de communication (SOAP RPC ou SOAP orienté message) http://fr.wikipedia.org/wiki/web_services_description_language

16 WSDL http://predic8.com/wsdl-reading.htm

WSDL: exemple 17

18 SOAP: Démystification des protocoles Découverte UDDI Description WSDL Message SOAP / XML Protocole HTTP, HTTPS, FTP, SFTP, SMS, SMTP (TCP or UDP) Transport IP

19 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

REST: Les ingrédients 20

21 REST: Démystification des technologies Langages XML JSON XHTML, HTML, PDF... as data formats Protocoles HTTP(s) Utilisation d une URL Méthode de communication (GET, POST, PUT, DELETE) Sécurité Sécurité du transport (SSL/TLS) Sécurité des messages: HMAC & Doseta (Like XML Signature) Autres éléments Oauth, API Keys

Représentation REST (exemple JSON) 22

Méthodes REST 23

24 REST: Démystification des protocoles Découverte??? Description WADL, Swagger *** Message XML, JSON, etc. Protocole HTTP, HTTPS Transport TCP/IP *** Avant-gardiste mais peux utiliser

25

SOAP vs REST 26

27 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

http://fr.wikipedia.org/wiki/diagramme_de_flux_de_donn%c3%a9es 28

29

30 Modèle STRIDE https://www.owasp.org/index.php/application_threat_modeling

31 Menaces selon le DFD Acme SA Threat 1 Interception des messages (Information disclosure) Modification des messages (Tampering) Usurpation d identité (Spoofing) Threat 2 Attaque de l application BoF Injection DoS & DDoS Etc

32 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

33 ACME SA: Réduction des risques? Chiffrement du transport AuthN SSL Mutual AuthN / X509 WAF / XML Gateway Intégrité et confidentialité des messages Secure Coding

34 Chiffrement du transport HTTPS SSL/TLS tunnel SSH IPSEC Etc. SOAP / XML HTTPS REST

35 AuthN SOAP / XML HTTP Basic, Digest, HTTP Header Mutual SSL IP trust WS Security user name password WS SAML Authentication token XML Signature Kerberos Etc. HTTP Basic, Digest, HTTP Header Mutual SSL IP trust Oauth API Keys REST

36 SSL Mutual AuthN / X509 / PKI SOAP / XML SSL/TLS Mutual AuthN** REST SSL/TLS Mutual AuthN** ** Man in the middle not possible (As I Know)

37 WAF / XML Gateway (Protection périmétrique) SOAP / XML Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List Validation WSDL Signature & Verification Encryption & Decryption SAML REST Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List

38 Intégrité et confidentialité des messages XML Signature XML Encryption SOAP / XML REST (p.ex: HMAC, Doseta) JSON Signature ** ** Pas de chiffrement à ma connaissance

39 Code security SOAP / XML - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures REST - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures OWASP Application Security Verification Standard (ASVS): https://www.owasp.org/index.php/asvs WASC web application weaknesses: http://projects.webappsec.org/w/page/13246978/threat%20classification

REST & OAuth 40

41 Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

42 Conclusion SOAP: Implémenter les standards WS-* liés à la sécurité Mettre en place un filtrage applicatif (WAF, XML GW) Complexe à mettre en œuvre (PKI, Secure coding, Cryptography, etc.) Architecture à forte contrainte de sécurité REST Mettre en place un filtrage applicatif (WAF, XML GW) Implémentation rapide et facile tendance Architecture de type Cloud, Intranet, Social Login, etc. On attend avec impatience les standards sécu pour REST??? Pragmatique: protection périmétrique, chiffrement et Secure Coding???

Pour aller plus loin. 43

Questions? 44

45 Merci / Thank you! Contact: sma@maret-consulting.ch @smaret http://www.maret-consulting.ch Slides: http://slideshare.net/asf-ws/

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back