Sécurité des web services soap

SÉCURITÉ DES WEB SERVICES SOAP

SMAHI Zakaria

SOMMAIRE

Qu’est ce qu’un WEB Service

Web Services SOAP

Risques et Menaces

Réduction des risques

Conclusion

Questions

QU’EST CE QU’UN WEB SERVICE Programmes accessibles à distance, qui peuvent être déployés sur n’importe quelle plateforme.

Il s’agit d’une forme d’un intergicielle (middleware) qui s’appuie sur des standards bien définis.

Conçus pour supporter l’interaction entre des groupes hétérogènes au sein d'un réseau.

UN PEU D’HISTOIRE

1990 : DCE/RPC - Distributed Computing Environment.

1992 : CORBA - Common Object Request Broker Architecture.

1990-1993 : Microsoft’s DCOM - Distributed Component Object Model.

1995 : RMI – Monde Java.

Pour arriver enfin à une standardisation (toujours en cours) des protocoles, outils, langages et interfaces.

WSDL

JSON

…etc.

Web Services

ENVIRONNEMENT A WEB SERVICES TYPIQUE

SOURCE: Mastering Web Services Security www.wiley.com

WEB SERVICES SOAP Langages:

XML

UDDI

WSDL

XPath

Protocoles:

Transport : HTTP, HTTPS, SMTP, FTP, SSH…etc.

Message: Enveloppe SOAP

Sécurité:

WS-Security (Signature – chiffrement)

LES ACTEURS DU WEB SERVICE SOAP

LES ACTEURS DU WEB SERVICE SOAP - WSDL

LES ACTEURS DU WEB SERVICE SOAP – SOAP

Protocol header

SOAP envelope

SOAP headerSOAP header

SOAP body SOAP body

SOAP faultSOAP fault

Protocol de transport (ex : http)

Définit le document XML comme un message SOAP

Optionnelle : stockage des informations spécifique à la

transaction

Contenant des données à transporter

Gestion des erreurs

RAPPEL MODÈLE STRIDEType Exemple Contrôle de sécurité

Spoofing Accèder et/ou utiliser des informations d’authentification d’un autre utilisateur (username/password).

Authentification

Tampering Modifier les données persistantes d’une base de données ou altérer les données en échange entre deux utilisateurs dans un réseau ouvert.

Intégrité

Repudiation Effectuer des opérations illégales sur un système non capable à retracer les opération interdites

Non-répudiation

Information disclosure

Lire des données en transit. Confidentialité

Denial of Service rendre les services ou les ressources d’une organisation indisponibles pendant un temps indéterminé

Disponiblité

Elevation of Privilege

Avoir un accès non autorisé à un système ( administateur, root).

Authorisation

RISQUES ET MENACES

RISQUES ET MENACES

Threat1: Interception des messages (Informtion disclosure). Modification des messages (Tampering). Usurpation d’identité (Spoofing). Threat2: « XML-Based attacks » Attaque de l’application (SQL Injections, XDOS, …etc.).

XML-BASED ATTACKS

SOAP ne définit aucun mécanisme de sécurité. Le problème apparait avec la syntaxe dite pardonnable de XML. Il existe deux grandes familles d’attaques à base XML: Les attaques de déni de services XML. (XDOS) Les attaques par injection.

Attaques à base XML

XDOS

Oversize/Récursive

XML Bombe

Référence externe

Envoi massif de messages

SOAP

Injections

Injection SQL

Injection de commandes

OS

Injection XML

Injection XPath

INJECTION SQL DANS UN MESSAGE SOAP

OR 1 = 1 -- Injection SQL

BOMBE XML DANS UNE MESSAGE SOAP

<?xml version=”1.0” encoding=”UTF-8”?>

< ! DOCTYPE SOAP-ENV: Envelope [ < ! ELEMENT SOAP-ENV: Envelope ANY> < ! ATTLIST SOAP-ENV: Envelope entityReference CDATA #IMPLIED>< ! ENTITY x0 "foo">< ! ENTITY x1 "foofoo" >< ! ENTITY x2 "foofoofoofoo" > ... < ! ENTITY x98 "&x97;&x97;" >

< ! ENTITY x99 "&x98;&x98;" > ] ><soap:Envelope xmlns:soap=”http://schemas.xmlsoap.org/soap/envelope/”>

<soap:Body>

<keyword xmlns="urn:parasoft:ws:store">foo</keyword> </soap:Body></soap:Envelope>   

< ! DOCTYPE SOAP-ENV: Envelope [ < ! ELEMENT SOAP-ENV: Envelope ANY> < ! ATTLIST SOAP-ENV: Envelope entityReference CDATA #IMPLIED>< ! ENTITY x0 "foo">< ! ENTITY x1 "foofoo" >< ! ENTITY x2 "foofoofoofoo" > ... < ! ENTITY x98 "&x97;&x97;" >

< ! ENTITY x99 "&x98;&x98;" > ] >

Bombe XML

RÉDUCTION DES RISQUES

Chiffrement du transport.

AuthN.

X509/PKI

Intégrité et confidentialité des messages.

Secure Coding.

XML Firewall ou XML Security Gateway.

RÉDUCTION DES RISQUES

Chiffrement du transport:

HTTPS

SSL/TLS Tunnel

SSH

…etc.

AuthN:

HTTP trust, HTTP Header

WS SAML Authentication token

Kerberos

…etc.

RÉDUCTION DES RISQUES X905/PKI:

SSL/TLS Mutual AuthN

…etc.

Intégrité et confidentialité des messages:

XML Signature

XML Encryption

Secure Coding:

Validation des input, et l’encodage des output

Anti-automatisation

Tester son web service avant de le publier par des outils de tests (SOAPui, WS-fuzzer, SQLmap …etc.)

XML FIREWALLS/XML SECURITY GATEWAYS Une nouvelle technologie introduite afin de sécuriser les web services contre les attaques.

Il est compatible aux différents protocoles de transport, et renforce les insertions de sécurité des messages de services, de port ou d’opération.

Actuellement, on a la tendance d’utiliser le terme «XML Security Gateway» pour les XML Firewall, car on attend de ces pare-feu un travail plus qu’un conventionnel pare-feu.

Les XML Firewalls utilisent soit des techniques exactes (basées sur les signatures) ou des méthodes probabilistes basées sur le data mining et l’intelligence artificielle pour la sécurisation des web services.

XML FIREWALLS/XML SECURITY GATEWAYS

XML FIREWALLS/XML SECURITY GATEWAYS

XML FIREWALLS/XML SECURITY GATEWAYS

from netfilterqueue import NetfilterQueuefrom verification import verifier def verif(pkt) : if not (SOAPmessage(pkt.get_payload()) : pkt.accept() else : if verifier(pkt.get_payload()) : pkt.accept() else : pkt.drop()nfqueue = NetfilterQueue()nfqueue.bind(1, verif)try : nfqueue.run()except KeyboardInterrupt : print

XML FIREWALLS/XML SECURITY GATEWAYS Statistiques des tests effectués:

170 messages injections SQL.

30 messages injections de commandes OS.

120 messages injections XML.

80 messages injections XPath.

150 bons messages déjà vu (période d’apprentissage).

150 bons messages nouveaux.

Un échantillon d’apprentissage de 10000 messages.

Résultats obtenus : 16 Faux Positifs (bon messages signalés malveillants à tord) et 0 faux négatifs (messages malveillants signalés bons par erreur).

CONCLUSION

Implémenter les standards WS-Security.

Utiliser une sécurité périmétrique XML Firewalls.

Secure Coding !

WS-Security VS Sécurité Périmétrique ?

To SOAP or NOT ?

To SECURE SOAP or NOT? That’s the question

Merci de votre attention