3. Le Challenge
“70 % des 10 millions
d'incidents de sécurité sont
survenus sur le port 80"
DATA
Information Week
3
4. La problématique
XML, Soap, Json
P2P, IM, http Tunneling
http / https
Java, ActiveX, VBScript, etc.
Html, Dhtml
4
5. Protéger vos applications Web
F5 Big-IP
Application Security Manager
► Protection contre les dernières menaces
► Protège contre les attaques visant les failles des applications et des bases de données
► Analyse, évalue le trafic utilisateur sur vos applications Web pour contenir les
attaques inconnues
► Améliore les performances de vos applications/sites Webs
► Adopte un modèle de sécurité
► PCI Compliance
► Reporting
5
6. Plusieurs niveaux de sécurité
Validation RFC
► Requêtes http, cookies,…
Validation HTTP
► Headers, méthodes, cookies,…
Profilage du trafic
► Type de fichier autorisé , taille, URI, paramètre,…
Evaluation de chaque paramètre pour
► Valeur prédéfinie, longueur, jeux de caractères, patterns
d’attaques,…
6
7. Protection contre les attaques connues…
► Cross-site request forgery
► Layer 7 DDoS
► Cross-site scripting
► SQL injection
► Forceful Browsing
► Brute Force
► Parameter and HPP tampering
► Session highjacking
► Cookie manipulation
► XML bombs
http://www.owasp.org/index.php/Category:Attack
7
8. Mais aussi
► Filtrage basé sur des signatures d’attaques (+1700)
► Templates de politique de sécurité pour plusieurs applications
► DataGuard et cloaking (dissimulation)
► Protection contre le Web scraping (extraction du contenu)
► Support ICAP pour l’analyse de fichiers dans HTTP SOAP et SMTP
► Filtrage basé sur la géolocalisation
► Firewall XML
► Sécurisation et reporting basé sur la session (ASM + APM)
► Evaluation des vulnérabilités
► Rapport de conformité PCI
8
12. Sécurité XML
► Validation du format XML
► Validation du Schéma/WSDL
► Sélection des méthodes SOAP
► Signatures d’attaques pour les plateformes XML
► Protection du parseur de l’application
► Protection Json/Ajax
► Log complet des requêtes
12
13. Validation du schéma WSDL
Activation ou non des méthodes décrites dans le schéma WSDL
13
14. Validation du format XML
Xml Message
NameSpace (NS)
element
attribute attribute’s value
children
document
depth
name 14
15. Construction de la politique de sécurité
Génération automatique de la politique de sécurité
► Wizard de configuration permettant la définition initiale de la politique de
sécurité
► Policy Builder permet d’affiner la politique de sécurité en utilisant l’analyse
heuristique et statistique pour les requêtes/réponses HTTP
► Détection automatique des changements dans les applications Web et mise à
jour «ASM Security Policy updates»
Resserrement de politique de sécurité
► Plus les composants applicatif et l’interaction des utilisateurs seront appris,
plus la politique de sécurité ASM sera spécifique
► Resserrent graduel de la politique de sécurité limitant le risque de faux positifs
15
16. Log de requête / réponse
Log de la
requête HTTP
complète
Réponse du
serveur web
16
21. Topologie de démo
<html> <html> <XML> <XML>
Client Serveur Web Serveur
applicatif
Internet DMZ intranet
21
22. Cible > Serveur Web
<html> <html> <XML> <XML>
Attaquant Serveur Web Serveur
applicatif
Internet DMZ intranet
22
23. Attaque > Injections SQL
Découverte du nom de la base de donnée et de la colonne user_id
► ' HAVING 1=1--
Obtenir le nom de toute les colonnes de la table
► ' UNION SELECT * FROM FSB_USERS WHERE USER_ID = 'JV' GROUP BY
USER_ID HAVING 1 = 1;--
Connaitre le format des colonnes
► ' UNION SELECT SUM(<column>) FROM FSB_USERS HAVING 1=1 --
INJECT USER
► '; INSERT INTO FSB_USERS (USER_NAME, LOGIN_ID, PASSWORD,
CREATION_DATE) VALUES('Mr Devil', 'devil', 'abc123', GETDATE());--
Vol d'argent
► Manipulation du paramètre _ctl3:txtAmt
23
24. Protection du serveur web
http://172.20.1.171:8080
http://172.20.1.170:80
<html> <html> <XML> <XML>
Client Serveur Web Serveur
applicatif
Internet DMZ intranet
24
25. Protection du serveur web
https://bank.demo.lan http://172.20.1.171:8080
http://172.20.1.170:80
F5 ASM
<html> <html> <XML> <XML>
Client Serveur Web Serveur
applicatif
Internet DMZ intranet
25
26. Cible > Serveur applicatif
<html> <html> <XML> <XML>
Attaquant Serveur Web Serveur
applicatif
Internet DMZ intranet
26
27. Protection du serveur applicatif
https://bank.demo.lan http://172.20.1.171:8080
http://172.20.1.170:80
F5 ASM F5 ASM
<html> <html> <XML> <XML>
Client Serveur Web Serveur
applicatif
Internet DMZ intranet
27
28. Protection complète!
F5 ASM F5 ASM
<html> <html> <XML> <XML>
Client Serveur Web Serveur
applicatif
Internet DMZ intranet
28
29. Questions ?
e-Xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité
de l’information dont les fondateurs ont fait de leur passion leur métier :
la sécurité des systèmes d'information
29