Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License. The OWASP Foundation OWASP Infosecurity France Paris le 22 Novembre 2007 Les enjeux de la sécurité des Services Web

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Sébastien Gioria Consultant indépendant en sécurité des systèmes dinformations. +10 ans dans le domaine de la sécurité informatique (banque, assurance, télécoms, …) Représentant Français de lassociation américaine.

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP LOWASP OWASP : Open Web Application Security Project Indépendant des fournisseurs et des gouvernements. Objectif principal : produire des outils, documents et standards dédiés à la sécurité des applications Web. Toutes les documentations, standards, outils sont fournis sous le modèle de lopen-source. Organisation : Réunion dexperts indépendants en sécurité informatique Communauté mondiale(plus de 100 chapitres) réunie en une fondation américaine pour supporter son action En France : une association. Ladhésion est gratuite et ouverte a tous. Le point dentrée est le wiki

© S.Gioria && OWASP 6 Training CLASP Testing Guide Project incubator Wiki portal Forums Blogs Top 10 Conferences WebScarab WebGoat Ajax Orizon.NET, Java Yours! Validation Chapters Building our brand Certification BuildingGuide

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Les publications Toutes les publications sont disponibles sur le site de lOWASP: Lensemble des documents est régi par la licence GFDL (GNU Free Documentation License) Les documents sont issus de différentes collaborations : Projets universitaires Recherche & développements des membres

© S.Gioria && OWASP Les publications majeures Le TOP 10 des vulnérabilités applicatives Le guide de conception dapplications Web sécurisées Le FAQ de la sécurité des applications Le guide « les 10 commandements sur lécriture dune application non sécurisée »

© S.Gioria && OWASP Le Top 10 Liste les 10 vulnérabilités des applications Web les plus rencontrées Mis a jour tous les ans Dimportantes organisations lont adopté dans leurs référentiels Federal Trade Commission (US Gov) US Defense Information Systems Agency VISA (Cardholder Information Security Program) Le NIST

© S.Gioria && OWASP Le Top 10 Le Top 10 actuel : A1. Non validation des données dentrée A2. Failles du Contrôle d acc è s A3. Failles dauthentification et mauvaise gestion des sessions A4. Failles de Cross Site Scripting A5. Débordement de tampons A6. Injections de données/commandes,.. A7. Mauvaise gestion des erreurs A8. Stockage de données non sécurisé A9. Déni de service A10. Gestion non sécurisée de la configuration

© S.Gioria && OWASP Les Guides 100% Libres. Issus de lexpérience de milliers dexperts à travers le monde OWASP guide Un ouvrage pour la création dapplications Web sécurisées à lintention des : Développeurs Architectes … Inclus les meilleurs pratiques dans différents langages (PHP, Java,.Net, …) Plusieurs centaines de pages OWASP Testing guide Ouvrage dédié à laudit sécurité des applications Web à lintention des pen-testeurs principalement.

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP OWASP Enterprise Security API (ESAPI) Un framework de sécurité pour les développeurs Permettre de créer une application Web Sécurisé Classes Java Disponible sur le site de lOWASP

© S.Gioria && OWASP WebGoat - WebScarab WebGoat : Application Java serveur (JSP, JEEE) non sécurisé. Sert a démontrer les failles, leur principe et a éduquer WebScarab : Application Java permettant deffectuer des tests de sécurité : Sur les applications Web Sur les WebServices

© S.Gioria && OWASP Quelques outils Outil de génération de données aléatoires(Fuzzer) permettant dinjecter des données pour les tests JBroFuzz : Fuzzer destiné à tester les applications Web WS Fuzz : Fuzzer destiné à tester les WebServices. Sprajax Outil destiné a tester la sécurité des applications AJAX Et bien dautres :

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Principe dune attaque XSS But : Envoyer lutilisateur vers un site Web malicieux Récupérer des informations contenues dans le navigateur Principe : Mail ou lien malicieux Exécution de code dans le navigateur Récupération de données : cookies, objets(IE) Envoi des données vers lattaquant. Dangerosité : Passe outre les contrôles de s é curit é (Firewall, IDS, … ) Coupler à certaines attaques, cela permet d acc é der au LAN

© S.Gioria && OWASP Principe dune attaque XSS (1)Injection du script (2)lutilisateur se rend sur le serveur vulnérable : Suite à un SPAM Sur un forum (3)Récupération des données de façon malicieuse

© S.Gioria && OWASP Injection de données (SQL, LDAP, commandes, …) But : Corrompre des données dune base, dun annuaire. Récupérer des informations sensibles dans des bases ou annuaires Exécuter des commandes sur un système distant. Principe : Par la modification de la donnée attendue, la requête daccès à une base SQL est modifiée. Dangerosité : Est-il utile de lexpliciter ?

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Architecture Orientées Services (SOA) Architecture de type Demandeur/Fournisseur (Client/Serveur). Les services du Fournisseur sont regroupés dans un annuaire. Ré-usabilité des modules Indépendant des langages de programmation Proche du « métier » Une architecture SOA se construit, elle nexiste pas sur « étagère »

© S.Gioria && OWASP XML, WSDL && SOAP eXtensible Markup Language (XML) : Langage de description dun élément Son objectif initial est de faciliter l'échange automatisé de contenus entre systèmes d'informations hétérogènes. Il est la base des échanges entre WebServices Web Services Description Language (WSDL) : Langage de description dun service Son objectif est de décrire comment dialoguer avec un service. Simple Object Access Protocol (SOAP) : Protocole de dialogue entre les acteurs des WebServices Normalisé par l Organization for the Advancement of Structured Information Standards (OASIS) Web Services : Dialogue entre un demandeur et un fournisseur par lintermédiaire de messages

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Le constat actuel Le système dinformation souvre : Architectures orientées services Intégration de partenaires « multi-play/multi-canal » : Internet, Téléphone, Mail, Vidéo, … La sécurité aujourdhui Niveau 2 : VLAN Niveau 3 : Liste de contrôle daccès Niveau 4 à 7 : Firewall, Proxy, IDS, IPS Niveau 8 : Lutilisateur

© S.Gioria && OWASP Les attaques sur les architectures SOA XML Bomb : Trivial à effectuer : Référence récursive à une entité du même document : Peut provoquer un déni de service ! <?xml … …. …. &owasp424242;

© S.Gioria && OWASP Les Attaques sur les architectures SOA Injection XML Permet de modifier les données dentrée dun WebService. Injection Xpath/Xquery Permet d'exécuter des requêtes de façon similaire à SQL XSS && Injection SQL Même principe que dans une architecture classique. Mêmes d é gâts possibles ! Bombes SOAP : Attaques en d é nis de services via les tableaux SOAP Bombes XML + SOAP …..

© S.Gioria && OWASP Agenda LOWASP Les publications de lOWASP Les outils Quelques attaques Architecture Orientée Services (SOA) Les attaques sur les architectures SOA Les technologies de protection

© S.Gioria && OWASP Les protections possibles WS-* WS-Security WS-Trust WS-SecureConversation WS-SecurityPolicy WS-Federation WS-Privacy Les Firewalls XML/SOAP Mais cela ne protège que les messages ! Le contenu des messages nest pas inspecté

© S.Gioria && OWASP La protection ultime dune architecture SOA Former les développeurs au développement sécurisé ! Vérifier les données ! Effectuer des tests de sécurité sur chaque WebService !