Sécurité des Applications Web

-Introduction
- Présentation du contexte en quelques chiffres.
- Le projet « honeynet » et ses enseignements.
- Les attaques les plus courantes.
- L'évolution des attaques, l'adaptation de celles-ci aux techniques de sécurité.

-Constituants d'une application Web
Quels sont les éléments que l'on trouve dans une application N-tiers.
- Le serveur frontal HTTP, son rôle et ses faiblesses.
- L'apport d'un serveur Middleware.
- Le serveur de données, un élément devenu indispensable.
- Le principe de fonctionnement.
- Les risques intrinsèques de ces composants.
- Les acteurs majeurs du marché.

-Le protocole HTTP en détail
Rappels sur connexion TCP, http, persistance et pipelining.
- Les PDUs GET, POST, PUT, DELETE.
- Les options HEAD et TRACE.
- Les champs de l'en-tête, les codes de status 1xx à 5xx.
- Redirection, hôte virtuel, proxy cache et tunneling.
- Les cookies, les attributs, les options associées.
- Les authentifications (Basic, Improved Digest...).
- L'accélération http, proxy, le Web balancing, l'équilibrage de charges.
Travaux pratiques
- Installation et utilisation de l'analyseur réseau Ethereal.
- Utilisation d'un proxy spécifique Achille.

-Les risques inhérents aux services Web
- Pourquoi les services Web sont-ils plus exposés ?
- SQL Injection, une attaque très répandue.
- Comprendre la mécanique des attaques par débordement de pile (Buffer
Overflow).
- Code Red, détail du fonctionnement.
- Vol de session par cookie poisonning.
- Manipulation des champs et risques associés.
- Cross Site Scripting ou l'attaque d'un site par ses utilisateurs.
- Failles internes aux logiciels commerciaux.
Travaux pratiques
- Exploitation de la faille « Unicode ».
- Contournement d'une authentification par SQL Injection.
- Cookie et vol de session.
- Cross Site Scripting.

-Le firewall réseau dans la protection d'application HTTP
- Le firewall réseau, présentation de son rôle et de ses fonctions.
- Le firewall est-il nécessaire pour la sécurité des services Web.
- Combien de D.M.Z. pour une architecture N-Tiers.
- Pourquoi le firewall réseau n'est pas apte à assurer la protection d'une application
Web.
Travaux pratiques
Mise en oeuvre d'un filtrage réseau (sous Windows ou Linux selon les participants).
Test de « bon » fonctionnement des attaques précédentes.

-Confidentialité des informations
- Infrastructure à clé publique, certificats, signature électronique et empreinte numérique.
- Sécurité du transport d'informations avec HTTPS.
- Gérer ses certificats serveurs, le standard X509.
- Quelle autorité de certification choisir ?
- Dans quel cas être sa propre autorité de certification ?
- Accélérateurs SSL : comment choisir entre appliance et carte sur serveur.
- L'unité de mesure TPS : Transactions Par Seconde.
Travaux pratiques
- Mise en oeuvre de S.S.L. sous Internet Information Serveur avec autorité de certification Microsoft.
- Mise en place du protocole S.S.L. sous Linux/Apache avec OpenSSL.

-Configuration du système et des logiciels
- La configuration par défaut, le risque majeur.
- La mise à jour des logiciels, une nécessité absolue.
- Quelques règles à respecter lors de l'installation d'un système d'exploitation.
- Linux ou Windows, l'importance du système dans la sécurité d'un service Web.
- Pourquoi Apache plus que Internet Information Server ?
- Comment configurer Apache et I.I.S. pour une sécurité optimale ?
- Le cas du Middleware et de la base de données.
- Les V.D.S. (Vulnerability Detection System), arme ou piège ?
Travaux pratiques
- « Hardening » du système d'exploitation (Linux ou Windows selon les participants)
- Procédure de sécurisation du frontal Web (Apache ou I.I.S. selon les participants).

-Développement sécurisé
- Sécurité du développement, quel budget doit-on y consacrer ?
- A quel moment intégrer la sécurité dans le cycle de développement ?
- Le rôle du code côté client, sécurité ou ergonomie ?
- Le contrôle des données envoyées par le client, la base de la sécurisation de l'application.
- Comment lutter contre les attaques de type « Buffer Overflo- ».
- Quelles sont les règles de développement à respecter ?
- Comment lutter contre les risques résiduels : Headers, URL Malformée, Cookie
Poisoning...

-L'authentification des utilisateurs
- Connexion anonyme et authentification applicative : attention danger.
- Systèmes à mot de passe " en clair ", par challenge, crypté.
- Les attaques sur mots de passe : du sniffing au brute force.
- SecurID, une alternative intéressante contre le vol des mots de passe.
- Les standards PKCS, l'apport de la PKI.
- Le rôle de l'annuaire LDAP, les profils et habilitations, les ACLs.
Travaux pratiques
- Mise en oeuvre d'une solution WebSSO.
- Déploiement d'un annuaire LDAP.
- Génération de certificats X509 pour l'authentification des utilisateurs.
- Mise en place d'un portail WebSSO (firewall applicatif) et transfert de l'identification.

-Le firewall « applicatif »
- Le firewall applicatif, une technologie naissante.
- Différences entre le firewall 'réseau' et le firewall 'applicatif'.
- Reverse-proxy et firewall 'applicatif', détails des fonctionnalités standard.
- Quels sont les apports de firewall 'applicatif' sur la sécurité des sites Web.
- Comment peut-on insérer un firewall 'applicatif' sur un système en production ?
- Quels sont les acteurs majeurs du marché ?
Travaux pratiques
- Mise en oeuvre d'un Firewall Applicatif.
- Définition des services.
- Gestion de la politique de sécurité.
- Rédition des attaques précédentes et observation des résultats.

-Supervision de la sécurité
- La supervision, élément fondamental de la sécurité.
- Quels sont les composants à auditer ?
- Comment déterminer les événements à risque ?
- Alerting et Reporting, essentiels dans l'administration de la sécurité.
- Les sondes de détection d'intrusions (I.D.S.) sont-elles utiles ?
- Le contrôle d'intégrité du système de fichiers comme constituant de la plate-forme de supervision.
- Comment gérer les alertes ?
- La supervision doit-elle être externalisée ?
Démonstration
I.D.S. Open Source Snort

-Conclusion
- Architecture de sécurité complète pour un service Web à risque.
- Le budget approximatif des éléments de sécurité.
- Web Services, XML Encryption et SOAP, quels risques dans les applications futures