La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation.

Présentations similaires


Présentation au sujet: "Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."— Transcription de la présentation:

1 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation OWASP Infosecurity France Paris le 22 Novembre 2007 Les enjeux de la sécurité des Services Web

2 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

3 © S.Gioria && OWASP Sébastien Gioria Consultant indépendant en sécurité des systèmes dinformations. +10 ans dans le domaine de la sécurité informatique (banque, assurance, télécoms, …) Représentant Français de lassociation américaine.

4 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

5 © S.Gioria && OWASP LOWASP OWASP : Open Web Application Security Project Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applications Web. Toutes les documentations, standards, outils sont fournis sous le modèle de lopen-source. Organisation : Réunion dexperts indépendants en sécurité informatique Communauté mondiale(plus de 100 chapitres) réunie en une fondation américaine pour supporter son action En France : une association. Ladhésion est gratuite et ouverte a tous. Le point dentrée est le wiki

6 © S.Gioria && OWASP 6 Training CLASP Testing Guide Project incubator Wiki portal Forums Blogs Top 10 Conferences WebScarab WebGoat Ajax Orizon.NET, Java Yours! Validation Chapters Building our brand Certification BuildingGuide

7 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

8 © S.Gioria && OWASP Les publications Toutes les publications sont disponibles sur le site de lOWASP: Lensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les documents sont issus de différentes collaborations : Projets universitaires Recherche & développements des membres

9 © S.Gioria && OWASP Les publications majeures Le TOP 10 des vulnérabilités applicatives Le guide de conception dapplications Web sécurisées Le FAQ de la sécurité des applications Le guide « les 10 commandements sur lécriture dune application non sécurisée »

10 © S.Gioria && OWASP Le Top 10 Liste les 10 vulnérabilités des applications Web les plus rencontrées Mis a jour tous les ans Dimportantes organisations lont adopté dans leurs référentiels Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Le NIST

11 © S.Gioria && OWASP Le Top 10 Le Top 10 actuel : A1. Non validation des données dentrée A2. Failles du Contrôle d acc è s A3. Failles dauthentification et mauvaise gestion des sessions A4. Failles de Cross Site Scripting A5. Débordement de tampons A6. Injections de données/commandes,.. A7. Mauvaise gestion des erreurs A8. Stockage de données non sécurisé A9. Déni de service A10. Gestion non sécurisée de la configuration

12 © S.Gioria && OWASP Les Guides 100% Libres. Issus de lexpérience de milliers dexperts à travers le monde OWASP guide Un ouvrage pour la création dapplications Web sécurisées à lintention des : Développeurs Architectes … Inclus les meilleurs pratiques dans différents langages (PHP, Java,.Net, …) Plusieurs centaines de pages OWASP Testing guide Ouvrage dédié à laudit sécurité des applications Web à lintention des pen-testeurs principalement.

13 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

14 © S.Gioria && OWASP OWASP Enterprise Security API (ESAPI) Un framework de sécurité pour les développeurs Permettre de créer une application Web Sécurisé Classes Java Disponible sur le site de lOWASP

15 © S.Gioria && OWASP WebGoat - WebScarab WebGoat : Application Java serveur (JSP, JEEE) non sécurisé. Sert a démontrer les failles, leur principe et a éduquer WebScarab : Application Java permettant deffectuer des tests de sécurité : Sur les applications Web Sur les WebServices

16 © S.Gioria && OWASP Quelques outils Outil de génération de données aléatoires(Fuzzer) permettant dinjecter des données pour les tests JBroFuzz : Fuzzer destiné à tester les applications Web WS Fuzz : Fuzzer destiné à tester les WebServices. Sprajax Outil destiné a tester la sécurité des applications AJAX Et bien dautres :

17 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

18 © S.Gioria && OWASP Principe dune attaque XSS But : Envoyer lutilisateur vers un site Web malicieux Récupérer des informations contenues dans le navigateur Principe : Mail ou lien malicieux Exécution de code dans le navigateur Récupération de données : cookies, objets(IE) Envoi des données vers lattaquant. Dangerosité : Passe outre les contrôles de s é curit é (Firewall, IDS, … ) Coupler à certaines attaques, cela permet d acc é der au LAN

19 © S.Gioria && OWASP Principe dune attaque XSS (1)Injection du script (2)lutilisateur se rend sur le serveur vulnérable : Suite à un SPAM Sur un forum (3)Récupération des données de façon malicieuse

20 © S.Gioria && OWASP Injection de données (SQL, LDAP, commandes, …) But : Corrompre des données dune base, dun annuaire. Récupérer des informations sensibles dans des bases ou annuaires Exécuter des commandes sur un système distant. Principe : Par la modification de la donnée attendue, la requête daccès à une base SQL est modifiée. Dangerosité : Est-il utile de lexpliciter ?

21 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

22 © S.Gioria && OWASP Architecture Orientées Services (SOA) Architecture de type Demandeur/Fournisseur (Client/Serveur). Les services du Fournisseur sont regroupés dans un annuaire. Ré-usabilité des modules Indépendant des langages de programmation Proche du « métier » Une architecture SOA se construit, elle nexiste pas sur « étagère »

23 © S.Gioria && OWASP XML, WSDL && SOAP eXtensible Markup Language (XML) : Langage de description dun élément Son objectif initial est de faciliter l'échange automatisé de contenus entre systèmes d'informations hétérogènes. Il est la base des échanges entre WebServices Web Services Description Language (WSDL) : Langage de description dun service Son objectif est de décrire comment dialoguer avec un service. Simple Object Access Protocol (SOAP) : Protocole de dialogue entre les acteurs des WebServices Normalisé par l Organization for the Advancement of Structured Information Standards (OASIS) Web Services : Dialogue entre un demandeur et un fournisseur par lintermédiaire de messages

24 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

25 © S.Gioria && OWASP Le constat actuel Le système dinformation souvre : Architectures orientées services Intégration de partenaires « multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, … La sécurité aujourdhui Niveau 2 : VLAN Niveau 3 : Liste de contrôle daccès Niveau 4 à 7 : Firewall, Proxy, IDS, IPS Niveau 8 : Lutilisateur

26 © S.Gioria && OWASP Les attaques sur les architectures SOA XML Bomb : Trivial à effectuer : Référence récursive à une entité du même document : Peut provoquer un déni de service !

27 © S.Gioria && OWASP Les Attaques sur les architectures SOA Injection XML Permet de modifier les données dentrée dun WebService. Injection Xpath/Xquery Permet d'exécuter des requêtes de façon similaire à SQL XSS && Injection SQL Même principe que dans une architecture classique. Mêmes d é gâts possibles ! Bombes SOAP : Attaques en d é nis de services via les tableaux SOAP Bombes XML + SOAP …..

28 © S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

29 © S.Gioria && OWASP Les protections possibles WS-* WS-Security WS-Trust WS-SecureConversation WS-SecurityPolicy WS-Federation WS-Privacy Les Firewalls XML/SOAP Mais cela ne protège que les messages ! Le contenu des messages nest pas inspecté

30 © S.Gioria && OWASP La protection ultime dune architecture SOA Former les développeurs au développement sécurisé ! Vérifier les données ! Effectuer des tests de sécurité sur chaque WebService !


Télécharger ppt "Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation."

Présentations similaires


Annonces Google