Sécurité des Web Services (SOAP vs REST)

Documents pareils

Le cadre des Web Services Partie 1 : Introduction

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Oauth : un protocole d'autorisation qui authentifie?

4. SERVICES WEB REST 46

Architecture Orientée Service, JSON et API REST

Programmation Web Avancée Introduction aux services Web

Web Application Firewalls (WAF)

Tour d horizon des différents SSO disponibles

Vulnérabilités et sécurisation des applications Web

Tutorial Authentification Forte Technologie des identités numériques

Delivering the World s AppSec Information in France OWASP. The OWASP Foundation OWASP Paris Meeting - May 6, 2009

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Groupe Eyrolles, 2004, ISBN :

Introduction aux «Services Web»

Présentation de la solution Open Source «Vulture» Version 2.0

OZSSI NORD 4 JUIN LILLE. Conférence thématique: Sécurité des applications

Devoir Surveillé de Sécurité des Réseaux

Cours Master Recherche RI 7 Extraction et Intégration d'information du Web «Services Web»

Retour d'expérience sur le déploiement de biométrie à grande échelle

Problématiques de recherche. Figure Research Agenda for service-oriented computing

La citadelle électronique séminaire du 14 mars 2002

Annexe C : Numéros de port couramment utilisés

L3 informatique TP n o 2 : Les applications réseau

Responsable du cours : Héla Hachicha. Année Universitaire :

Sécurité des réseaux Les attaques

18 TCP Les protocoles de domaines d applications

Internets. Informatique de l Internet: le(s) Internet(s) Composantes de l internet R3LR RENATER

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Systèmes d'informations historique et mutations

Les Services Web. Jean-Pierre BORG EFORT

Domain Name System Extensions Sécurité

Sécurité des réseaux sans fil

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Architecture JEE. Objectifs attendus. Serveurs d applications JEE. Architectures JEE Normes JEE. Systèmes distribués

Architectures Web Services RESTful

Supplément de renseignements : Examens d applications et pare-feux d applications web clarifiés Normes : Normes en matière de sécurité des données de

COMPRENDRE L ARCHITECTURE DES WEB SERVICES REST. Amosse EDOUARD, Doctorant

Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales

Sécurisation des architectures traditionnelles et des SOA

Figure 1a. Réseau intranet avec pare feu et NAT.

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

La Sécurité des Données en Environnement DataCenter

Hébergement de sites Web

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

WEBSERVICES. Michael Fortier. Master Informatique 2ème année. A308, Université de Paris 13

Manuel des logiciels de transferts de fichiers File Delivery Services

1 LE L S S ERV R EURS Si 5

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

TUNIS LE : 20, 21, 22 JUIN 2006

Internet of Things Part 1

Rappels réseaux TCP/IP

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Contrôle d accès Centralisé Multi-sites

Cours 14. Crypto. 2004, Marc-André Léger

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

1. Formation F5 - Local Traffic Manager Configuring (LTM)

Programmation Internet Cours 4

Intégration d'applications à "gros grain" Unité d'intégration : le "service" (interface + contrat)

Présentation SafeNet Authentication Service (SAS) Octobre 2013

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Présenté par : Ould Mohamed Lamine Ousmane Diouf

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Livre blanc sur l authentification forte

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Etat des lieux sur la sécurité de la VoIP

ADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5

Vulnérabilités et solutions de sécurisation des applications Web

Introduction aux. services web 2 / 2

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Business Process Execution Language

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Réseaux et protocoles Damien Nouvel

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

LP ASUR - Sécurité. Introduction à la Sécurité des Systèmes d'information. Florent Autréau - florent@mataru.com 28 Avril 2013

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

L accès aux Clouds (Académiques)

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

SSH, le shell sécurisé

Architecture SOA Un Système d'information agile au service des entreprises et administrations

Les systèmes pare-feu (firewall)

Université de Reims Champagne Ardenne. HTTPS, SSL, SSH, IPSEC et SOCKS. Présenté par : BOUAMAMA Mohamed Nadjib AZIZ Xerin

Protection des protocoles

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Les technologies de gestion de l identité

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Développement d applications Internet et réseaux avec LabVIEW. Alexandre STANURSKI National Instruments France

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Mobile VPN Access (MVA)

Haka : un langage orienté réseaux et sécurité

La fédération d identité Contexte, normes, exemples

Déploiement de l infrastructure SOA. Retour d expérience Août 2013

Transcription:

The OWASP Foundation http://www.owasp.org Sécurité des Web Services (SOAP vs REST) Sylvain Maret Principal Consultant / MARET Consulting / @smaret OpenID Switzerland OWASP Switzerland - Geneva Chapter meeting Lieu: Genève (Suisse) 6 décembre 2012 Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. 05/06.11.2012, Version 1.1 @smaret

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 2

Bio 18 years of experience in ICT Security Principal Consultant at MARET Consulting Expert & Lecturer at University of Applied Sciences (Yverdon) Swiss French Area delegate at OpenID Switzerland Co-founder Application Security Forum #ASFWS OWASP Member Author of the blog: la Citadelle Electronique http://ch.linkedin.com/in/smaret or @smaret http://www.slideshare.net/smaret Chosen field AppSec / Digital Identity Security / Cyber Defense 3

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 4

Web Service? Consumer XML, JSON, etc. Provider 5

Un peu d histoire 1990 : DCE/RPC Distributed Computing Environment 1992 : CORBA Common Object Request Broker Architecture 1990-1993 : Microsoft s DCOM -- Distributed Component Object Model 1995: RMI Monde Java Pour arriver à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces SOAP REST Etc. Web Service 6

Typical Web Services environment 7 Source: Mastering Web Services Security / www.wiley.com

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 8

SOAP: Démystification des technologies Langages XML WSDL : Descripteur du service UDDI: Annuaire des services Xpath Protocoles Transport: HTTP, HTTPS, SMTP, FTP, SMS, TFTP, SSH, etc. (TCP or UDP) Message: Enveloppe SOAP Sécurité WS-Security (Signature & Chiffrement) Autres éléments AuthN: SAML, X509, Username & Password, Kerberos, HTTP Digest, etc. 9

Enveloppe SOAP - SOAP : Simple Object Access Protocol - Permet l envoi de messages XML 10 Source= wikipédia

SOAP request SOAP response 11

UDDI Universal Description Discovery and Integration, connu aussi sous l'acronyme UDDI, est un annuaire de services fondé sur XML et plus particulièrement destiné aux services Web. 12

WSDL WSDL est une grammaire XML permettant de décrire un Service Web. Le WSDL sert à décrire : le format de messages requis pour communiquer avec ce service les méthodes que le client peut invoquer la localisation du service le protocole de communication (SOAP RPC ou SOAP orienté message) 13 http://fr.wikipedia.org/wiki/web_services_description_language

WSDL http://predic8.com/wsdl-reading.htm 14

WSDL: exemple 15

SOAP: Démystification des protocoles Découverte UDDI Description WSDL Message SOAP / XML Protocole HTTP, HTTPS, FTP, SFTP, SMS, SMTP (TCP or UDP) Transport IP 16

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 17

REST: Démystification des technologies Langages XML JSON XHTML, HTML, PDF... as data formats Protocoles HTTP(s) Utilisation d une URL Méthode de communication (GET, POST, PUT, DELETE) Sécurité Sécurité du transport (SSL/TLS) Sécurité des messages: HMAC / Doseta / JWS, etc. (Like XML Signature) Autres éléments Oauth, API Keys, etc. 18

Représentation REST (exemple JSON) 19

Méthodes REST 20

REST: Démystification des protocoles Découverte??? Description WADL, Swagger *** Message XML, JSON, etc. Protocole HTTP, HTTPS Transport TCP/IP 21 *** Avant-gardiste!

Example 22

Example Twitter (OAuth) 23

24

SOAP vs REST 25

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 26

27 http://fr.wikipedia.org/wiki/diagramme_de_flux_de_donn%c3%a9es

28

Modèle STRIDE https://www.owasp.org/index.php/application_threat_modeling 29

Menaces - DFD Acme SA Threat 1 Interception des messages (Information disclosure) Modification des messages (Tampering) Usurpation d identité (Spoofing) Threat 2 Attaque de l application BoF Injection DoS & DDoS Etc 30

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 31

ACME SA: Réduction des risques? Chiffrement du transport AuthN SSL Mutual AuthN / X509 WAF / XML Gateway Intégrité et confidentialité des messages Secure Coding 32

Chiffrement du transport HTTPS SSL/TLS tunnel SSH IPSEC Etc. SOAP / XML HTTPS REST 33

AuthN SOAP / XML HTTP Basic, Digest, HTTP Header Mutual SSL IP trust WS Security user name password WS SAML Authentication token XML Signature Kerberos Etc. REST HTTP Basic, Digest, HTTP Header Mutual SSL IP trust Oauth API Keys JSON Web Token (JWT) 34

SSL Mutual AuthN / X509 / PKI SOAP / XML SSL/TLS Mutual AuthN** REST SSL/TLS Mutual AuthN** 35 ** Man in the middle not possible (As I Know)

WAF / XML Gateway (Protection périmétrique) SOAP / XML Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List Validation WSDL Signature & Verification Encryption & Decryption SAML REST Reverse Proxy Contrôle requêtes HTTP Rupture SSL/TLS Black List White List 36

Intégrité et confidentialité des messages XML Signature XML Encryption SOAP / XML REST (p.ex: HMAC, Doseta) JSON Web Signature (JWS) Draft v7 JSON Web Encryption http://tools.ietf.org/html/draft-ietf-jose-json-web-signature-07 37 ** Pas de chiffrement à ma connaissance

Example XML Signature (SOAP) 38

Example JSON Signature 39

Code security SOAP / XML - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures REST - Data input validation - Data output encoding - Pseudorandom data generation, high entropy - Strong / reliable data encryption algorithms - Data leakage prevention - Robust error & exception handling - Anti-automation and expiration measures OWASP Application Security Verification Standard (ASVS): https://www.owasp.org/index.php/asvs WASC web application weaknesses: http://projects.webappsec.org/w/page/13246978/threat%20classification 40

Agenda Qu est-ce qu un Web Service? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions 41

Conclusion SOAP: Implémenter les standards WS-* liés à la sécurité? Mettre en place un filtrage applicatif (WAF, XML GW) Complexe à mettre en œuvre (PKI, Secure coding, Cryptography, etc.) Architecture à forte contrainte de sécurité REST Mettre en place un filtrage applicatif (WAF, XML GW) Implémentation rapide et facile tendance Architecture de type Cloud, Intranet, Social Login, etc. Emergence des standards (JSON Web Algorithms) On attend avec impatience les standards sécu pour REST??? Pragmatique: protection périmétrique, chiffrement et Secure Coding??? 42

Approche périmétrique vs WS-Security? 43

Questions? 44

Merci / Thank you! Contact: sma@maret-consulting.ch @smaret http://www.maret-consulting.ch Slides: http://slideshare.net/asf-ws/ 45

The OWASP Foundation http://www.owasp.org Backup Slides By Sylvain Maret Copyright The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. 46

47

SoapBox 48

Capture HTTP 49

Signer le message 50

Signer le message 51