ASFWS 2012 WS Security - REST vs SOAP par Sylvain Maret

Tags:

Preview:

Click to see full reader

DESCRIPTION

Avec l’expansion des services en lignes via le cloud ou tout simplement l’interconnexion des SI, le besoin d’exposer des services vers l’extérieur est croissant. Les WebServices sont une solution maintenant éprouvée depuis longtemps pour répondre à ce besoin. Que l’on utilise SOAP ou REST un problème se pose toujours : comment faire pour sécuriser l’accès à mon SI alors que j’en ouvre une porte en exposant mon métier ? Cette conférence tentera de répondre à ces questions en présentant des cas concrets d’implémentation.

Citation preview

Application Security Forum - 2012Western Switzerland

7-8 novembre 2012 - Y-Parc / Yverdon-les-Bainshttps://www.appsec-forum.ch

Initiation à la sécurité des Web Services (SOAP vs REST)

Sylvain MARETPrincipal Consultant / MARET Consulting

OpenID Switzerland & OWASP Switzerland

08.11.2012, Version 1.1 @smaret

2

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

3

Bio 18 years of experience in ICT Security Principal Consultant at MARET Consulting Expert at Engineer School of Yverdon Swiss French Area delegate at OpenID Switzerland Co-founder Geneva Application Security Forum OWASP Member Author of the blog: la Citadelle Electronique http://ch.linkedin.com/in/smaret or @smaret http://www.slideshare.net/smaret

Chosen field– AppSec & Digital Identity Security

4

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

5

Web Service: la base….

6

Web Service ?

XML, JSON, etc.Consumer Provider

7

Un peu d’histoire

1990 : DCE/RPC – Distributed Computing Environment 1992 : CORBA – Common Object Request Broker Architecture 1990-1993 : Microsoft’s DCOM -- Distributed Component Object Model 1995: RMI – Monde Java

Pour arriver à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces

– SOAP– REST– Etc. Web Service

8

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

9

SOAP vs REST ?

10

SOAP: Les ingrédients

11

SOAP: Démystification des technologies

Langages– XML– WSDL : Descripteur du service– UDDI: Annuaire des services

Protocoles– Transport: HTTP, HTTPS, SMTP, FTP, SMS, TFTP, SSH, etc. (TCP or UDP)– Message: Enveloppe SOAP

Sécurité– WS-Security (Signature & Chiffrement)

Autres éléments– AuthN: SAML, X509, Username & Password, Kerberos, HTTP Digest, etc.

12

Enveloppe SOAP

- SOAP : Simple Object Access Protocol

- Permet l’envoi de messages XML

- Agnostique au moyen de transport- HTTP- HTTPS- FTP- etc.

Source= wikipédia

13

SOAP request

SOAP response

14

UDDI

Universal Description Discovery and Integration, connu aussi sous l'acronyme UDDI, est un annuaire de services fondé sur XML et plus particulièrement destiné aux services Web.

15

WSDL

WSDL est une grammaire XML permettant de décrire un Service Web.

Le WSDL sert à décrire :– le format de messages requis pour communiquer avec ce

service– les méthodes que le client peut invoquer– la localisation du service– le protocole de communication (SOAP RPC ou SOAP orienté

message)

http://fr.wikipedia.org/wiki/Web_Services_Description_Language

http://fr.wikipedia.org/wiki/Web_Services_Description_Language

16

WSDL

http://predic8.com/wsdl-reading.htm

http://predic8.com/wsdl-reading.htm

17

WSDL: exemple

18

SOAP: Démystification des protocoles

UDDI

WSDL

SOAP / XML

HTTP, HTTPS, FTP, SFTP, SMS, SMTP(TCP or UDP)

IP

Découverte

Description

Message

Protocole

Transport

19

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

20

REST: Les ingrédients

21

REST: Démystification des technologies

Langages– XML– JSON– XHTML, HTML, PDF... as data formats

Protocoles– HTTP(s) Utilisation d’une URL– Méthode de communication (GET, POST, PUT, DELETE)

Sécurité– Sécurité du transport (SSL/TLS)– Sécurité des messages: HMAC & Doseta (Like XML Signature)

Autres éléments– Oauth, API Keys

22

Représentation REST (exemple JSON)

23

Méthodes REST

24

REST: Démystification des protocoles

XML, JSON, etc.

HTTP, HTTPS

TCP/IP

Message

Protocole

Transport

WADL, Swagger ***Description

*** Avant-gardiste mais peux utiliser

???Découverte

25

26

SOAP vs REST

27

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

28

http://fr.wikipedia.org/wiki/Diagramme_de_flux_de_donn%C3%A9es

http://fr.wikipedia.org/wiki/Diagramme_de_flux_de_donn%C3%A9es

29

30

Modèle STRIDE

https://www.owasp.org/index.php/Application_Threat_Modeling

https://www.owasp.org/index.php/Application_Threat_Modeling

31

Menaces selon le DFD Acme SA

Threat 1– Interception des messages (Information disclosure)– Modification des messages (Tampering)– Usurpation d’identité (Spoofing)

Threat 2– Attaque de l’application

• BoF• Injection• DoS & DDoS• Etc

32

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

33

ACME SA: Réduction des risques ?

Chiffrement du transport AuthN SSL Mutual AuthN / X509 WAF / XML Gateway Intégrité et confidentialité des messages Secure Coding

34

Chiffrement du transportSOAP / XML REST

HTTPSSSL/TLS tunnelSSHIPSECEtc.

HTTPS

35

AuthNSOAP / XML REST

HTTP Basic, Digest, HTTP HeaderMutual SSLIP trustWS Security user name passwordWS SAML Authentication tokenXML SignatureKerberosEtc.

HTTP Basic, Digest, HTTP HeaderMutual SSLIP trustOauthAPI Keys

36

SSL Mutual AuthN / X509 / PKISOAP / XML REST

SSL/TLS Mutual AuthN** SSL/TLS Mutual AuthN**

** Man in the middle not possible… (As I Know)

37

WAF / XML Gateway (Protection périmétrique)SOAP / XML REST

Reverse ProxyContrôle requêtes HTTPRupture SSL/TLSBlack ListWhite ListValidation WSDLSignature & VerificationEncryption & DecryptionSAML

Reverse ProxyContrôle requêtes HTTPRupture SSL/TLSBlack ListWhite List

38

Intégrité et confidentialité des messages

SOAP / XML RESTXML SignatureXML Encryption

•(p.ex: HMAC, Doseta)• JSON Signature• **

** Pas de chiffrement à ma connaissance

39

Code securitySOAP / XML REST

- Data input validation- Data output encoding- Pseudorandom data generation, high entropy- Strong / reliable data encryption algorithms- Data leakage prevention- Robust error & exception handling- Anti-automation and expiration measures

- Data input validation- Data output encoding- Pseudorandom data generation, high entropy- Strong / reliable data encryption algorithms- Data leakage prevention- Robust error & exception handling- Anti-automation and expiration measures

OWASP Application Security Verification Standard (ASVS):https://www.owasp.org/index.php/ASVS WASC web application weaknesses:http://projects.webappsec.org/w/page/13246978/Threat%20Classification

https://www.owasp.org/index.php/ASVS
http://projects.webappsec.org/w/page/13246978/Threat%20Classification

40

REST & OAuth

41

Agenda

Qu’est-ce qu’un Web Service ? SOAP REST Threat Modeling / ACME SA Réduction des risques Conclusion Questions

42

Conclusion SOAP:

– Implémenter les standards WS-* liés à la sécurité– Mettre en place un filtrage applicatif (WAF, XML GW)– Complexe à mettre en œuvre (PKI, Secure coding, Cryptography, etc.)– Architecture à forte contrainte de sécurité

REST– Mettre en place un filtrage applicatif (WAF, XML GW)– Implémentation rapide et facile tendance– Architecture de type Cloud, Intranet, Social Login, etc.

On attend avec impatience les standards sécu pour REST ???– Pragmatique: protection périmétrique, chiffrement et Secure Coding ???

43

Pour aller plus loin….

44

Questions?

45

Merci / Thank you!

Contact:sma@maret-consulting.ch@smarethttp://www.maret-consulting.chSlides:

http://slideshare.net/ASF-WS/

http://slideshare.net/ASF-WS/
http://slideshare.net/ASF-WS/

Recommended

Sylvain Marion
Documents
ASFWS 2011: Harmonizing Identity and Privacy in Digital Identity and Authentication technologies
Technology
ASFWS 2011 : Code obfuscation: Quid Novi ?
Technology
ASFWS 2012 Discours de bienvenue ASFWS 2012
Technology
ASFWS 2011 : Sécurité du web embarqué
Technology
ASFWS 2011 : Cyberguerre et Infrastructures critiques : Menaces & Risques
Technology
ASFWS 2012 - Node.js Security – Old vulnerabilities in new dresses par Sven Vetsch
Documents
ASFWS 2011 - Secure software development for mobile devices
Technology
ASFWS 2011 - MiniMySqlat0r Reloaded
Technology
ASFWS 2012 Analyse de la sécurité Dropbox par Nicolas Ruff / Florian Ledoux
Technology
ASFWS 2012 / Initiation à la sécurité des Web Services par Sylvain Maret
Technology
ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
Technology
ASFWS 2013 - Rump Session - Sécurité d’un token OTP Nicolas ruff
Technology
Giraud Sylvain
Documents
ASFWS 11 - Nos partenaires et sponsors
Documents
Sylvain Weill
Science
ASFWS 2103 - Rump Session - The Password Hashing Competition, Jean-Philippe Aumasson
Technology
ASFWS 2011 - Développement applicatif & sécurité: Menaces, bonnes pratiques, retour d’expérience
Technology
FoRmateuR : Sylvain decloix Sylvain decloix
Documents
ASFWS 2012 - Le développement d’applications sécurisées avec Android par Johan Leuenberger
Documents