Web Services Security Assessment

Evaluation complète de l'infrastructure de services web

Etapes suivantes :

Overview

Les services web ont révolutionné le développement des applications et le fonctionnement même des départements informatiques — un peu comme les applications client-serveur et web l'avaient fait par le passé. Ils offrent aux entreprises un nouveau moyen standardisé d'intégrer des applications et des systèmes disparates entre fournisseurs, partenaires et clients. Avec l'avènement du Web 2.0, les services web sont devenus omniprésents, à mesure que des technologies comme AJAX et JSON ont gagné du terrain.

La sécurité est un enjeu majeur qui concerne les services web tout autant que les autres types d'application. L'infrastructure de sécurisation du réseau traditionnelle n'est plus suffisante pour répondre aux impératifs de sécurité imposés par les services XML et web. Le service Web Services Security Assessment de Foundstone permet de réaliser une évaluation complète de la sécurité des services web : nos consultants identifient les menaces, les vulnérabilités et les risques associés à l'infrastructure de services web de votre entreprise.

Chaque client et chaque service web présentent des exigences spécifiques en termes de sécurité du réseau, qui sont fonction des besoins de l'entreprise et de leur environnement d'exploitation. Le processus débute par une identification et une documentation systématiques de vos besoins en matière de sécurité. L'étape suivante consiste en une modélisation des menaces destinée à détecter les menaces potentielles et à les hiérarchiser. Ensuite, nous évaluons différents aspects de la sécurité au niveau de la conception et de l'implémentation, notamment la confidentialité, l'intégrité, les relations d'approbation et l'authentification et ce, au moyen de standards de sécurité comme les signatures XML, le chiffrement XML, SAML et WS-Security.

Principaux avantages

  • Détection des brèches de sécurité dans les services web de production avant qu'elles ne soient découvertes par les pirates
  • Contrôles qualité visant à vérifier la sécurité des applications avant leur transfert vers l'environnement de production
  • Evaluation des risques et de leur incidence potentielle sur les activités de l'entreprise
  • Emploi d'une méthodologie de tests manuels détaillée et bien établie, garantissant précision et efficacité
  • Transfert des connaissances concernant les techniques de test appliquées, les problèmes identifiés et les mesures correctives
  • Evaluation des raisons pour lesquelles les contre-mesures traditionnelles valables pour les applications web peuvent se révéler inefficaces dans le contexte des services web

Methodology

Notre méthodologie a pour but d'évaluer les attaques basées sur le contenu XML, les attaques ciblant les services web de nouvelle génération et les menaces visant les infrastructures applicatives, dont l'injection de code SQL et les attaques par déni de service. L'évaluation de la sécurité des services web inclut notamment les opérations suivantes :

  • Modélisation des menaces
  • Tests « boîte noire »
  • Tests « boîte blanche »
  • Examens des produits périphériques (pare-feux XML)
  • Examens de l'architecture

Menaces visant les services web :

  • Attaques basées sur le contenu XML
    • Analyse syntaxique forcée
    • Entité externe
    • Modification de paramètres
    • XPath et XQuery
    • Charge active récursive
    • Charge active surdimensionnée
  • Attaques visant les services web
    • Analyse WSDL
    • Empoisonnement de schéma
  • Attaques visant l'infrastructure
    • Enumération des informations
    • Authentification et autorisation
    • Validation d'entrée (SQL/XSS)
    • Gestion des erreurs
    • Couche réseau/serveurs web