Sécurité des applications Web

 

Introduction

• Présentation du contexte en quelques chiffres.
• Le projet « honeynet » et ses enseignements.
• Les attaques les plus courantes.
• L’évolution des attaques, l’adaptation de celles-ci aux techniques de sécurité.

Constituants d’une application Web

Quels sont les éléments que l’on trouve dans une application N-tiers.

• Le serveur frontal HTTP, son rôle et ses faiblesses.
• L’apport d’un serveur Middleware.
• Le serveur de données, un élément devenu indispensable.
• Le principe de fonctionnement.
• Les risques intrinsèques de ces compo­sants.
• Les acteurs majeurs du marché.

Le protocole HTTP en détail

Rappels sur connexion TCP, http, persis­tance et pipelining.

• Les PDUs GET, POST, PUT, DELETE.
• Les options HEAD et TRACE.
• Les champs de l’en-tête, les codes de status 1xx à 5xx.
• Redirection, hôte virtuel, proxy cache et tunneling.
• Les cookies, les attributs, les options associées.
• Les authentifications (Basic, Improved Digest...).
• L’accélération http, proxy, le Web balancing, l’équilibrage de charges.
• Installation et utilisation de l’analyseur réseau Ethereal.
• Utilisation d’un proxy spécifique Achille.

Les risques inhérents aux services Web

• Pourquoi les services Web sont-ils plus exposés ?
• SQL Injection, une attaque très répandue.
• Comprendre la mécanique des attaques par débordement de pile (Buffer Overflow).
• Code Red, détail du fonctionnement.
• Vol de session par cookie poisonning.
• Manipulation des champs et risques associés.
• Cross Site Scripting ou l’attaque d’un site par ses utilisateurs.
• Failles internes aux logiciels commerciaux.
• Exploitation de la faille « Unicode ».
• Contournement d’une authentification par SQL Injection.
• Cookie et vol de session.
• Cross Site Scripting.

Le firewall réseau dans la protection d’application HTTP

• Le firewall réseau, présentation de son rôle et de ses fonctions.
• Le firewall est-il nécessaire pour la sécu­rité des services Web.
• Combien de D.M.Z. pour une architec­ture N-Tiers.
• Pourquoi le firewall réseau n’est pas apte à assurer la protection d’une application Web.

Confidentialité des informations

• Infrastructure à clé publique, certificats, signature électronique et empreinte numérique.
• Sécurité du transport d’informations avec HTTPS.
• Gérer ses certificats serveurs, le standard X509.
• Quelle autorité de certification choisir ?
• Dans quel cas être sa propre autorité de certification ?
• Accélérateurs SSL : comment choisir entre appliance et carte sur serveur.
• L’unité de mesure TPS : Transactions Par Seconde.

Configuration du système et des logi­ciels

• La configuration par défaut, le risque majeur.
• La mise à jour des logiciels, une nécessité absolue.
• Quelques règles à respecter lors de l’installation d’un système d’exploitation.
• Linux ou Windows, l’importance du système dans la sécurité d’un service Web.
• Pourquoi Apache plus que Internet Information Server ?
• Comment configurer Apache et I.I.S. pour une sécurité optimale ?

Développement sécurisé

• Sécurité du développement, quel bud­get doit-on y consacrer ?
• A quel moment intégrer la sécurité dans le cycle de développement ?
• Le rôle du code côté client, sécurité ou ergonomie ?
• Le contrôle des données envoyées par le client, la base de la sécurisation de l’application.
• Comment lutter contre les attaques de type « Buffer Overflow ».
• Quelles sont les règles de développe­ment à respecter ?
• Comment lutter contre les risques rési­duels : Headers, URL Malformée, Cookie Poisoning...

L’authentification des utilisateurs

• Connexion anonyme et authentification applicative : attention danger.
• Systèmes à mot de passe « en clair «, par challenge, crypté.
• Les attaques sur mots de passe : du sniffing au brute force.
• SecurID, une alternative intéressante contre le vol des mots de passe.
• Les standards PKCS, l’apport de la PKI.
• Le rôle de l’annuaire LDAP, les profils et habilitations, les ACLs.

Le firewall « applicatif »

• Le firewall applicatif, une technologie naissante.
• Différences entre le firewall ‘réseau’ et le firewall ‘applicatif’.
• Reverse-proxy et firewall ‘applicatif’, détails des fonctionnalités standard.
• Quels sont les apports de firewall ‘applicatif’ sur la sécurité des sites Web.
• Comment peut-on insérer un firewall ‘applicatif’ sur un système en production ?
• Quels sont les acteurs majeurs du marché ?

Supervision de la sécurité

• La supervision, élément fondamental de la sécurité.
• Quels sont les composants à auditer ?
• Comment déterminer les événements à risque ?
• Alerting et Reporting, essentiels dans l’administration de la sécurité.
• Les sondes de détection d’intrusions (I.D.S.) sont-elles utiles ?
• Le contrôle d’intégrité du système de fichiers comme constituant de la plate-forme de supervision.
• Comment gérer les alertes ?
• La supervision doit-elle être externalisée ?

Conclusion

• Architecture de sécurité complète pour un service Web à risque.
• Le budget approximatif des éléments de sécurité.
• Web Services, XML Encryption et SOAP, quels risques dans les applications futures