SlideShare una empresa de Scribd logo

La sécurité des API: Quand les mauvais élèves entrent en piste.

EyesOpen Association
EyesOpen Association

Auteur : Kevin MONKAM Presented at EOCON 2022 Video of the presentation : https://youtu.be/Zkd7h2yRdAw

Presentaciones y charlas públicas
1 de 23
1.C’est quoi une API 2.Les types d’APIs 3.Le Web à l’ancienne Vs APIs 4.API Security Challenges 5.OWASP API Security Project & Top Ten 6. Vos premiers tests avec OWASP 10 7. Cas pratique ☺ PLAN
I- C’EST QUOI UNE API Une interface de programmation d'application (API) est un ensemble de règles ou de protocoles qui permettent aux programmes et aux applications de communiquer entre eux. En termes simples, une API est un morceau de code qui communique avec un autre morceau de code. Cas typique d’un client---serveur. Que ce passe t’il quand vous êtes dans un restaurant ?
I.1- QUI UTILISE LES APIS La liste n’est pas exhaustive
II- Les types APIs
II- LES TYPES APIS Operation HTTP Method RESTful Web Service (API) CREATE PUT/POST POST READ or RETRIEVE GET GET UPDATE PUT/POST/PATCH PUT DELETE DELETE DELETE • CRUD c’est l’acronyme de Create, Retrieve, Update, Delete
III- Le Web à l’ancienne Vs APIs
IV-API SECURITY CHALLENGES Les API sont essentielles et DOIVENT être Sécurisé… Qu'il s'agisse d'une équipe de sécurité cherchant à sécuriser son application ou d'un chasseur de bogues trouvant des bogues dans ces programmes. Une stratégie sécurisée doit être mise en place pour gérer et protéger les API ainsi que les systèmes et applications qui les utilisent !
V- OWASP API SECURITY PROJECT & TOP TEN • L'OWASP est une organisation à but non lucratif qui travaille à améliorer la sécurité des applications et des logiciels Web. • Erez Yalon et Inon Shkedy ont créé le projet de sécurité de l'API OWASP et le Top Ten de la sécurité de l'API OWASP. • A1 Broken Object Level Authorization • A2 Broken Authentication • A3 Excessive Data Exposure • A4 Lack of Resources and Rate Limiting • A5 Broken Function Level Authorization • A6 Mass Assignment • A7 Security Misconfiguration • A8 Injection • A9 Improper Assets Management • A10 Insufficient Logging & Monitoring
V- OUTILS RECOMMANDÉS DE TESTS
VI- VOS PREMIERS TESTS AVEC OWASP 10 1. Broken ObjectLevelAuthorization BOLA est une vulnérabilité de contrôle d'accès qui se produit lorsque l'entrée fournie par l'utilisateur est utilisée pour accéder à d'autres ressources auxquelles il ne devrait pas avoir accès régulièrement. BOLA est plus connu sur InsecureDirect Object References (IDOR)
2.Broken Authentication • Mauvaise implémentation des méthodes d'authentification. • Détails d'authentification sensibles comme les jetons d'authentification et les mots de passe dans l’URL • JWT mal configuré ( {“alg”:”NONE”} ) • L'application autorise les mots de passe et/ou les clés de cryptage faibles • Jeton d'accès utilisé dans l'URL VI- VOS PREMIERS TESTS AVEC OWASP 10
3. Excessive Data Exposure • Les API peuvent exposer trop de données. • Une exposition excessive des données peut amener les attaquants à utiliser ces détails supplémentaires pour recueillir des informations qu'ils ne devraient pas avoir ou les utiliser pour formuler une attaque plus sophistiquée. VI- VOS PREMIERS TESTS AVEC OWASP 10
4. Lack of Resources and Rate Limiting Cela se produit lorsque les développeurs n'implémentent pas de mesures de limitation de débit dans le code qui protégeraient l'API ou l'application contre les attaques telles que le déni de service ou les attaques par force brute. VI- VOS PREMIERS TESTS AVEC OWASP 10
5. Broken Function Level Authorization • Les attaques BFLA sont similaires aux attaques BOLA ou IDOR • Les attaques BFLA se concentrent sur l'exploitation des rôles et des accès utilisés dans l'API. VI- VOS PREMIERS TESTS AVEC OWASP 10
Lorsque les API exposent des ressources ou des variables, les attaquants peuvent les utiliser pour concevoir leurs requêtes et leurs appels afin d'accéder à des ressources auxquelles ils ne sont pas censés accéder. 6. Mass Assignment VI- VOS PREMIERS TESTS AVEC OWASP 10
7. Misconfiguration Des paramètres de sécurité mal configurés dans les API ou les applications peuvent amener les attaquants à exploiter ces paramètres vulnérables pour exploiter l'application. VI- VOS PREMIERS TESTS AVEC OWASP 10
8. Injection Les attaques par injection se produisent lorsque les développeurs ne parviennent pas à nettoyer correctement les entrées de l'utilisateur. L'application utilise MongoDB et est vulnérable aux attaques par injection NoSQL VI- VOS PREMIERS TESTS AVEC OWASP 10
9. Improper Assets Management Les versions hors production ou antérieures d'une API qui sont encore utilisées et/ou qui ne sont pas aussi bien protégées sont des cibles potentielles pour les attaquants VI- VOS PREMIERS TESTS AVEC OWASP 10 Le chercheur a accédé à un ancien point de terminaison d'API public non protégé de la base de données https://thehackernews.com/2019/04/justdial-hacked-data-breach.html
10. Insufficient Logging & Monitoring Sans une journalisation et une surveillance appropriées, les attaques peuvent passer inaperçues. Les bons coups Utilisez des formats standard pour surveiller et consigner les API telles que les API Gateways • Journaliser les échecs de validation des entrées, les tentatives d'authentification échouées, les accès refusés, etc... • Gardez vos journaux protégés comme des données sensibles • Surveillez vos points de terminaison d'API à toutes les phases (production, étape, test, développement). Réagissez aux problèmes de sécurité identifiés dans votre API. • Évitez les données sensibles dans les journaux VI- VOS PREMIERS TESTS AVEC OWASP 10
VII- CAS PRATIQUE ☺
VIII- CONCLUSION Les API sont l'avenir des applications Les API ne partagent pas certaines des vulnérabilités Web courantes, mais ont leur propre ensemble de problèmes de sécurité Entraînez-vous à tester et à exploiter ces vulnérabilités Les testeurs d'intrusion et les équipes de sécurité doivent adopter le Top 10 de l'API OWASP comme ils le font avec le Top 10 OWASP ou le Top 25 SANS Entrainez-vous • OWASP Juice Shop (https://github.com/bkimminich/juice-shop) • OWASP DevSlop’s Pixi App (https://github.com/DevSlop/Pixi) • Optiv’s REST API Goat (https://github.com/optiv/rest-api-goat/) • Tiredful API (https://github.com/payatu/Tiredful-API) • Damn Vulnerable Web Services (https://github.com/snoopysecurity/dvws-node)
M E R C I ! T H A N K Y O U ! QUESTIONS ?

Recomendados

Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxouiamlamghari12
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 

Recomendados

Introduction vulnérabilité web
Introduction vulnérabilité webIntroduction vulnérabilité web
Introduction vulnérabilité webdavystoffel
 
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V012010 02 09 Ms Tech Days Owasp Asvs Sgi V01
2010 02 09 Ms Tech Days Owasp Asvs Sgi V01Sébastien GIORIA
 
Les principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesLes principales failles de sécurité des applications Web actuelles
Les principales failles de sécurité des applications Web actuellesXavier Kress
 
Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1 Sécurité des Applications WEB -LEVEL1
Sécurité des Applications WEB -LEVEL1Tarek MOHAMED
 
Les principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesLes principales failles de sécurité des applications web actuelles
Les principales failles de sécurité des applications web actuellesBee_Ware
 
Introduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxIntroduction-aux-vulnerabilites-des-applications-Web (1).pptx
Introduction-aux-vulnerabilites-des-applications-Web (1).pptxouiamlamghari12
 
Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes securite des application - barcamp2012
Valdes securite des application - barcamp2012Valdes Nzalli
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
ReST API Security
ReST API SecurityReST API Security
ReST API SecurityYounes Jaaidi
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications webHenrique Mukanda
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutionse-Xpert Solutions SA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 ProactiveAbdessamad TEMMAR
 
Demystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxDemystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxletourneur2
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la SécuritéSébastien GIORIA
 
Spring Boot RestApi.pptx
Spring Boot RestApi.pptxSpring Boot RestApi.pptx
Spring Boot RestApi.pptxGoogle Developers Group Libreville Nom de famille
 
Investir sur son API web (in French)
Investir sur son API web (in French)Investir sur son API web (in French)
Investir sur son API web (in French)Restlet
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPITakfarinas KENOUCHE
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKISamir Arezki ☁
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en lignePrénom Nom de famille
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API ManagementMagali Boulet
 
Développement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EEDéveloppement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EESabri Bouchlema
 
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONEyesOpen Association
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices EyesOpen Association
 

Más contenido relacionado

Similar a La sécurité des API: Quand les mauvais élèves entrent en piste.

Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications webHenrique Mukanda
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutionse-Xpert Solutions SA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
Demystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxDemystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxletourneur2
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockNicolas Lourenço
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
Investir sur son API web (in French)
Investir sur son API web (in French)Investir sur son API web (in French)
Investir sur son API web (in French)Restlet
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPITakfarinas KENOUCHE
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKISamir Arezki ☁
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSebastien Gioria
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en lignePrénom Nom de famille
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceSébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01Cyber Security Alliance
 
Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API ManagementMagali Boulet
 
Développement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EEDéveloppement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EESabri Bouchlema
 

Similar a La sécurité des API: Quand les mauvais élèves entrent en piste. (20)

ReST API Security
ReST API SecurityReST API Security
ReST API Security
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Demystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxDemystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptx
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Spring Boot RestApi.pptx
Spring Boot RestApi.pptxSpring Boot RestApi.pptx
Spring Boot RestApi.pptx
 
Investir sur son API web (in French)
Investir sur son API web (in French)Investir sur son API web (in French)
Investir sur son API web (in French)
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPI
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API Management
 
Développement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EEDéveloppement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EE
 

Más de EyesOpen Association

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONEyesOpen Association
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices EyesOpen Association
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus EyesOpen Association
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...EyesOpen Association
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategiesEyesOpen Association
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance EyesOpen Association
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...EyesOpen Association
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work EyesOpen Association
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryEyesOpen Association
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI EyesOpen Association
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéEyesOpen Association
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture EyesOpen Association
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseEyesOpen Association
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique EyesOpen Association
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...EyesOpen Association
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management EyesOpen Association
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) EyesOpen Association
 

Más de EyesOpen Association (20)

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A)
 

La sécurité des API: Quand les mauvais élèves entrent en piste.

  • 1.
  • 2. 1.C’est quoi une API 2.Les types d’APIs 3.Le Web à l’ancienne Vs APIs 4.API Security Challenges 5.OWASP API Security Project & Top Ten 6. Vos premiers tests avec OWASP 10 7. Cas pratique ☺ PLAN
  • 3. I- C’EST QUOI UNE API Une interface de programmation d'application (API) est un ensemble de règles ou de protocoles qui permettent aux programmes et aux applications de communiquer entre eux. En termes simples, une API est un morceau de code qui communique avec un autre morceau de code. Cas typique d’un client---serveur. Que ce passe t’il quand vous êtes dans un restaurant ?
  • 4. I.1- QUI UTILISE LES APIS La liste n’est pas exhaustive
  • 6. II- LES TYPES APIS Operation HTTP Method RESTful Web Service (API) CREATE PUT/POST POST READ or RETRIEVE GET GET UPDATE PUT/POST/PATCH PUT DELETE DELETE DELETE • CRUD c’est l’acronyme de Create, Retrieve, Update, Delete
  • 7. III- Le Web à l’ancienne Vs APIs
  • 8. IV-API SECURITY CHALLENGES Les API sont essentielles et DOIVENT être Sécurisé… Qu'il s'agisse d'une équipe de sécurité cherchant à sécuriser son application ou d'un chasseur de bogues trouvant des bogues dans ces programmes. Une stratégie sécurisée doit être mise en place pour gérer et protéger les API ainsi que les systèmes et applications qui les utilisent !
  • 9. V- OWASP API SECURITY PROJECT & TOP TEN • L'OWASP est une organisation à but non lucratif qui travaille à améliorer la sécurité des applications et des logiciels Web. • Erez Yalon et Inon Shkedy ont créé le projet de sécurité de l'API OWASP et le Top Ten de la sécurité de l'API OWASP. • A1 Broken Object Level Authorization • A2 Broken Authentication • A3 Excessive Data Exposure • A4 Lack of Resources and Rate Limiting • A5 Broken Function Level Authorization • A6 Mass Assignment • A7 Security Misconfiguration • A8 Injection • A9 Improper Assets Management • A10 Insufficient Logging & Monitoring
  • 11. VI- VOS PREMIERS TESTS AVEC OWASP 10 1. Broken ObjectLevelAuthorization BOLA est une vulnérabilité de contrôle d'accès qui se produit lorsque l'entrée fournie par l'utilisateur est utilisée pour accéder à d'autres ressources auxquelles il ne devrait pas avoir accès régulièrement. BOLA est plus connu sur InsecureDirect Object References (IDOR)
  • 12. 2.Broken Authentication • Mauvaise implémentation des méthodes d'authentification. • Détails d'authentification sensibles comme les jetons d'authentification et les mots de passe dans l’URL • JWT mal configuré ( {“alg”:”NONE”} ) • L'application autorise les mots de passe et/ou les clés de cryptage faibles • Jeton d'accès utilisé dans l'URL VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 13. 3. Excessive Data Exposure • Les API peuvent exposer trop de données. • Une exposition excessive des données peut amener les attaquants à utiliser ces détails supplémentaires pour recueillir des informations qu'ils ne devraient pas avoir ou les utiliser pour formuler une attaque plus sophistiquée. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 14. 4. Lack of Resources and Rate Limiting Cela se produit lorsque les développeurs n'implémentent pas de mesures de limitation de débit dans le code qui protégeraient l'API ou l'application contre les attaques telles que le déni de service ou les attaques par force brute. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 15. 5. Broken Function Level Authorization • Les attaques BFLA sont similaires aux attaques BOLA ou IDOR • Les attaques BFLA se concentrent sur l'exploitation des rôles et des accès utilisés dans l'API. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 16. Lorsque les API exposent des ressources ou des variables, les attaquants peuvent les utiliser pour concevoir leurs requêtes et leurs appels afin d'accéder à des ressources auxquelles ils ne sont pas censés accéder. 6. Mass Assignment VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 17. 7. Misconfiguration Des paramètres de sécurité mal configurés dans les API ou les applications peuvent amener les attaquants à exploiter ces paramètres vulnérables pour exploiter l'application. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 18. 8. Injection Les attaques par injection se produisent lorsque les développeurs ne parviennent pas à nettoyer correctement les entrées de l'utilisateur. L'application utilise MongoDB et est vulnérable aux attaques par injection NoSQL VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 19. 9. Improper Assets Management Les versions hors production ou antérieures d'une API qui sont encore utilisées et/ou qui ne sont pas aussi bien protégées sont des cibles potentielles pour les attaquants VI- VOS PREMIERS TESTS AVEC OWASP 10 Le chercheur a accédé à un ancien point de terminaison d'API public non protégé de la base de données https://thehackernews.com/2019/04/justdial-hacked-data-breach.html
  • 20. 10. Insufficient Logging & Monitoring Sans une journalisation et une surveillance appropriées, les attaques peuvent passer inaperçues. Les bons coups Utilisez des formats standard pour surveiller et consigner les API telles que les API Gateways • Journaliser les échecs de validation des entrées, les tentatives d'authentification échouées, les accès refusés, etc... • Gardez vos journaux protégés comme des données sensibles • Surveillez vos points de terminaison d'API à toutes les phases (production, étape, test, développement). Réagissez aux problèmes de sécurité identifiés dans votre API. • Évitez les données sensibles dans les journaux VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 22. VIII- CONCLUSION Les API sont l'avenir des applications Les API ne partagent pas certaines des vulnérabilités Web courantes, mais ont leur propre ensemble de problèmes de sécurité Entraînez-vous à tester et à exploiter ces vulnérabilités Les testeurs d'intrusion et les équipes de sécurité doivent adopter le Top 10 de l'API OWASP comme ils le font avec le Top 10 OWASP ou le Top 25 SANS Entrainez-vous • OWASP Juice Shop (https://github.com/bkimminich/juice-shop) • OWASP DevSlop’s Pixi App (https://github.com/DevSlop/Pixi) • Optiv’s REST API Goat (https://github.com/optiv/rest-api-goat/) • Tiredful API (https://github.com/payatu/Tiredful-API) • Damn Vulnerable Web Services (https://github.com/snoopysecurity/dvws-node)
  • 23. M E R C I ! T H A N K Y O U ! QUESTIONS ?