Ecole nationale Supérieure d’Informatique 
Ex : (Institut National de formation en Informatique) 
Projet de Fin d’Etudes 
...
Introduction 1 
Background 
Problématique 
Objectifs 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-g...
Introduction 2 
Les web services utilisent des standards et protocoles 
comme XML et SOAP. 
Ces protocoles les rend vulnér...
3 
Identifier les différentes attaques par injection 
contre les web services. 
Faire une étude sur la représentation en n...
Plan de Présentation 
Web Services 
Attaques par injection sur les Web Services 
Les n-grammes et test de Khi-2 
Conceptio...
Étude 
Bibliographique
Les Web Services 
Introduction 4 
Web Services 
Définition 
Acteurs du Web 
Services 
Messages SOAP 
Attaques par 
injecti...
Introduction 5 
Web Services 
Définition 
Acteurs du Web 
Services 
Messages SOAP 
Attaques par 
injection sur les Web 
Se...
Message SOAP 
Introduction 6 
Web Services 
Définition 
Acteurs du Web 
Services 
Messages SOAP Protocol header 
Attaques ...
Les Attaques sur les Web Services (1/2) 
Introduction 7 
Web Services 
Attaques par 
injection sur les Web 
Services 
Atta...
Les Attaques sur les Web Services (2/2) 
Introduction 8 
Web Services 
Attaques par 
injection sur les Web 
Services 
Atta...
Les Attaques par injection (1/2) 
Introduction 9 
Web Services 
Attaques par 
injection sur les Web 
Services 
Attaques su...
Les Attaques par injection (2/2) 
Introduction 10 
Web Services 
Attaques par 
injection sur les Web 
Services 
Attaques s...
Introduction 11 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
12 
Les n-grammes (2/2) 
A partir d’une chaîne « parExemple » voici la 
liste des uni-grammes (n=1) et bi-grammes 
(n=2) p...
13 
Le Test du Khi-2 
Le test du Khi-2 (χ²) fournit une méthode pour 
déterminer la nature d’une répartition, qui peut 
êt...
Introduction 14 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Les n-gramm...
Conception
Introduction 15 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 16 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 17 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 18 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 19 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 20 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 21 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 22 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 23 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 24 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Réalisation
Introduction 25 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 26 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 27 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 28 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 29 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Tests et Résultats
Introduction 30 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 31 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 32 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 33 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 34 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 35 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 36 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 37 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Les résultats (7/14) 
Introduction 38 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test...
Introduction 39 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 40 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 41 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 42 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 43 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 44 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Les résultats (14/14) 
Introduction 45 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
tes...
Introduction 46 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Conclusion et 
Perspectives
Introduction 47 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Introduction 48 
Web Services 
Attaques par 
injection sur les Web 
Services 
Les n-grammes et 
test de Khi-2 
Conception ...
Merci pour votre 
attention
Questions
Prochain SlideShare
Chargement dans…5
×

Sécurisation des Web Services SOAP contre les attaques par injection par la méthode de khi2

1 058 vues

Publié le

Sécurisation des Web Services SOAP contre les attaques par injection par la méthode de khi2. présentation lors de mon PFE

Publié dans : Logiciels
0 commentaire
5 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 058
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
51
Commentaires
0
J’aime
5
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

  • Les Web services sont devenus de plus en plus populaires, non seulement dans les réseaux intranet, mais aussi dans les communications inter-entreprises dans leurs taches économiques les plus critiques ; et ce grâce à la manière dont ils définissent et traitent les données et les faire agir avec d’autres applications.


  • Tout d’abord, commençons par les grandes lignes de ce travail à travers ce plan.
    Nous entamerons notre présentation par une brève introduction, qui sera suivie par quelques notions sur le Web Services ,et leur sécurité
    Apres quoi nous enchainerons avec la conception et la réalisation de notre application ainsi que les tests effectués et résultats obtenus.
    Nous terminerons notre présentation par une conclusion et éventuellement quelques perspectives.

  • Dans ce qui va suivre, nous allons donner quelques notions et définitions qu’il est nécessaire de connaitre afin de mieux comprendre les problématiques et atteindre les objectifs fixés.

  • UDDI: (Universal Description Discovery and Integration). Un annuaire permettant l’enregistrement et la recherché par la suite des web services. Il joue le role du DNS en réseau à la difference qu’il résout les noms des web services et non pas les noms de domains.
  • Les injections SQL consistent à insérer ou injecter du code SQL via des données entrées par l’utilisateur à l’application.

    Exemple => Résultat

    l’injection de commande est un type d’injection ou l’objectif est d’exécuter des commandes sur la machine hôte via une application vulnérable.

    Exemple => Résultat

    Injection XML: Le but de cette attaque est d’envoyer au serveur des données en rentrant par exemple, des informations d’identification contenant des caractères spéciaux, qui pourrait ne pas être prisent en charge par l’application.

    Exemple => Résultat

    Lorsqu’on choisit de stocker des données sensibles en XML plutôt que dans une base de données SQL, les attaquants peuvent s’appuyer sur une injection de XPath pour contourner une authentification, comme pour inscrire des données sur le système distant

    Exemple => Résultat
  • Matrice de Confusion qui donne une vue globale sur le processus de classification

    Courbe de ROC, ROC pour dire Receiver Operating Charasteristic: qui est une représentation graphique d la relation existante entre la sensibilité (i.e la capacité d’un test à donner un résultat positif lorsqu’une hypothèse est vérifiée) et la la spécificité (i.e la capacité d’un test à donner un résultat négatif lorsqu’une hypothèse ,’est pas vérifiee).
  • Sécurisation des Web Services SOAP contre les attaques par injection par la méthode de khi2

    1. 1. Ecole nationale Supérieure d’Informatique Ex : (Institut National de formation en Informatique) Projet de Fin d’Etudes Option : Systèmes Informatiques (SIQ) Sécurisation des Web Services SOAP contre les attaques par injection par la méthode de Khi-2 (χ²) Présenté par Mr. SMAHI Zakaria Encadré par Septembre 2014 Mr. AMROUCHE Hakim
    2. 2. Introduction 1 Background Problématique Objectifs Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Background Portail Construit Web Service de l’Usine Banque du Client Vérifie la solvabilité Banque Centrale www.new car.com Cherche un crédit Organisme de Crédit Cherche les taux
    3. 3. Introduction 2 Les web services utilisent des standards et protocoles comme XML et SOAP. Ces protocoles les rend vulnérables à plusieurs types d’attaques. La plupart de ces attaques sont des attaques par injection. Le problème avec les attaques par injection est l’absence de mécanismes de validation des données entrées par l’utilisateur. Background Problématique Objectifs Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Problématique
    4. 4. 3 Identifier les différentes attaques par injection contre les web services. Faire une étude sur la représentation en n-grammes et le test de Khi-2 (χ²). Concevoir et Implémenter Firewall XML pour sécuriser les web services contre les attaques par injection utilisant la méthode de Khi-2. Effectuer des tests et interpréter les résultats. Introduction Background Problématique Objectifs Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Objectifs
    5. 5. Plan de Présentation Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives
    6. 6. Étude Bibliographique
    7. 7. Les Web Services Introduction 4 Web Services Définition Acteurs du Web Services Messages SOAP Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Programmes accessibles à distance, qui peuvent être déployés sur n’importe quelle plateforme. Il s’agit d’une forme d’un intergicielle (middleware) qui s’appuie sur des standards définis et proposés par le W3C comme XML. Conçus pour supporter l’interaction entre des groupes hétérogènes au sein d'un réseau via un échange de messages appelés SOAP, basées sur le langage XML
    8. 8. Introduction 5 Web Services Définition Acteurs du Web Services Messages SOAP Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Les Acteurs du Web Service
    9. 9. Message SOAP Introduction 6 Web Services Définition Acteurs du Web Services Messages SOAP Protocol header Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives SOAP envelope SOAP header SOAP body SOAP fault Protocol de transport (ex : http) Définit le document XML comme un message SOAP Optionnelle : stockage des informations spécifique à la transaction Contenant des données à transporter Gestion des erreurs
    10. 10. Les Attaques sur les Web Services (1/2) Introduction 7 Web Services Attaques par injection sur les Web Services Attaques sur les web Services Attaques par injection Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Les Web Services sont vulnérables à un certain type d’attaques. Ces attaques sont dites « Attaques à base XML » ou « XML-based Attacks ». La plupart de ces attaques sont de types Injection, d’où l’appellation « Attaques par injection » ou « Injection Attacks ».
    11. 11. Les Attaques sur les Web Services (2/2) Introduction 8 Web Services Attaques par injection sur les Web Services Attaques sur les web Services Attaques par injection Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Attaques à base XML XDOS Oversize/Récursi ve XML Bombe Référence externe Envoi massif de messages SOAP Injections Injection SQL Injection de commandes OS Injection XML Injection XPath
    12. 12. Les Attaques par injection (1/2) Introduction 9 Web Services Attaques par injection sur les Web Services Attaques sur les web Services Attaques par injection Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives les attaques prédominantes contre les web services aujourd’hui. Il n’existe aucune séparation stricte entre les instructions d’un programme et les données qu’un utilisateur y saisit. un utilisateur malveillant peut injecter du code malicieux, dans le but d’extraire ou de modifier des données confidentielles.
    13. 13. Les Attaques par injection (2/2) Introduction 10 Web Services Attaques par injection sur les Web Services Attaques sur les web Services Attaques par injection Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Attaques par injection Injection SQL Injection Commandes OS Injection XML Injection XPath <soapenv :Body> <Login> <username> ’ OR 1 = 1 -- </username> <password> </password> </Login> </soapenv :Body> <return> (zsmahi, zsmahi) , (user,password) , (Bob, #12jA) , (Alice, azerty) </return> <soapenv :Body> <Ping> <host>127.0.0.1 ; cat /etc/passwd</host> </Ping> </soapenv :Body> <return> Ping Result root :x :0 :0 :root :/root :/bin/bash password daemon :x :1 :1 :daemon :/usr/sbin :/bin/sh bin :x :2 :2 :bin :/bin :/bin/sh </return> <users> user> username>Charly</user name></user><user><us ername>Alice</user><us er></username> user> </users> Utilisateurs enregistrés: Charly Alice soapenv :Body> Search> <item> zsmahi’ or ’1’ =’1 </item> Search> soapenv :Body> <return> Zsmahi , user1 , anotherUser1 </return>
    14. 14. Introduction 11 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Un n-gramme est une sous-séquence de n éléments construite à partir d’une séquence donnée. A partir d’une séquence de lettres donnée, il est possible d’obtenir la fonction de vraisemblance de l’apparition de la lettre suivante. Les n-grammes sont utilisées souvent dans le domaine de la Recherche d’Information. Les n-grammes Test de Khi-2 Les n-grammes (1/2)
    15. 15. 12 Les n-grammes (2/2) A partir d’une chaîne « parExemple » voici la liste des uni-grammes (n=1) et bi-grammes (n=2) possibles: Introduction Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Les n-grammes Test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Uni-grammes Bi-grammes P : 2/10 « pa » : 1/9 E : 3/10 « pl » : 1/9 X : 1/10 « pe » : 0/9
    16. 16. 13 Le Test du Khi-2 Le test du Khi-2 (χ²) fournit une méthode pour déterminer la nature d’une répartition, qui peut être continue ou discrète. Introduction Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Les n-grammes Test de Khi-2 utilisé dans différents domaines tels que la Conception Réalisation Tests et Résultats Conclusion et Perspectives comparaison des échantillons, Recherche de liaison entre les données ou Recherche de l’influence d’une donnée autre que celle étudiée.
    17. 17. Introduction 14 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Les n-grammes Test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Principe du Test du Khi-2 1 Etape • Formuler l’hypothèse H0 « Hypothèse nulle ». • Formuler H1 « Hypothèse alternative ». 2 Etape • Répartir les données en classes • Déterminer le nombre de degrés de liberté à partir du nombre de classes. 3 Etape • Fixer un seuil s (souvent le 5%) 4 Etape • Calculer Algébriquement la distance de Khi-2 2 푛 (푂푖 −퐸푖)² 퐷푂, 퐸 = 푖=1 퐸푖 5 Etape • Déterminer la Khi-2 théorique P à l’aide de la table Khi-2 • SI P <= s on accepte H0 • Sinon On rejette H0. Accepter H1
    18. 18. Conception
    19. 19. Introduction 15 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Architecture générale du Firewall
    20. 20. Introduction 16 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Administration du Firewall Ajouter Un Profil Web Service Administration Modifier la configuration du firewall Visualiser le Journal des évènements
    21. 21. Introduction 17 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Ajouter un Profil Web Service (1/2) 1ére Etape • L’administrateur fournit le nom du Web Service et l’URL de son fichier WSDL. 2éme Etape • Récupérer les méthodes du web service à partir du fichier WSDL • Récupérer les logs du serveur pour extraire les bons messages. 3éme Etape • Extraire les différents n-grammes et leurs fréquences pour chaque message. 4éme Etape • Calculer Algébriquement (moyenne arithmétique) le vecteur moyen des fréquences des n-grammes des bons messages. 5éme Etape • Sauvegarder le profil Web Service
    22. 22. Introduction 18 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Ajouter un Profil Web Service (2/2) Administrateur (Nom WS, URL WSDL) Gestionnaire des Profils WS Calcul du Vecteur Moyen Création du Profil WS Profils WS Log du serveur Bons Messages SOAP Vecteur Moyen Profil Crée
    23. 23. Introduction 19 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Calcul du vecteur moyen Vecteur1 de Fréquences de n-grammes Vecteur2 de Fréquences de n-grammes Vecteur3 de Fréquences de n-grammes Vecteur n de Fréquences de n-grammes Vecteur Moyen de tous les n-grammes existants dans les messages bons
    24. 24. Introduction 20 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Configuration du Firewall L’administrateur peut modifier la taille du n-gramme utilisée (n=2,3, …etc.) par défaut n=3. L’administrateur peut modifier le seuil de détection utilisé ( par défaut 0.05)
    25. 25. Introduction 21 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Journal des évènements On sauvegarde tous les évènements ( messages bons, messages malveillants). L’administrateur peut visualiser le journal des évènements pour pouvoir suivre le fonctionnement du firewall.
    26. 26. Introduction 22 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Noyau de Protection 1 Etape • Intercepter le message SOAP. 2 Etape • Extraire les différents n-grammes du message. 3 Etape • Calculer la distance χ² entre le vecteur moyen et le message intercepté. 4 Etape • Comparer la probabilité p de χ² avec le seuil utilisé α. • Si (p <= α) -> Message Malveillant • Sinon -> Message Bon • Journaliser l’évènement
    27. 27. Introduction 23 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Algorithme de distance de Khi-2 La distance de Khi-2 est donnée par la formule: 2 푛 (푂푖 −퐸푖)² 퐷푂, 퐸 = 푖=1 퐸푖 avec: • O : Vecteur observé (message intercepté). • E : Vecteur attendu (vecteur moyen). Un n-gramme X X existe dans E et O: La formule sera : (푂푥 −퐸푥)² 퐸푥 X existe seulement dans E: (푂푥 −퐸푥)² La formule sera : 퐸푥 (Ox=0) X existe seulement dans O: La formule sera : (푂푥 −min(퐸))² min(퐸)
    28. 28. Introduction 24 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Architecture générale Administration Protection Réalisation Tests et Résultats Conclusion et Perspectives Algorithme de Protection Paramètres en entrée :(VecteurMoyen, n, seuil) Résultat: Message Bon/Malveillant Début dist = 0 Pour chaque message SOAP entrant M faire 1. vect = n-gramme(M,n) 2. Normaliser le vecteur M par la taille du message. FinPour Pour chaque n-gramme ng faire 1. dist = Khi2Dist(vect,VecteurMoyen) FinPour Si (khi2(dist,ddl)<= seuil) faire 1. Message Malveillant Sinon 1. Message Bon Fsi Fin
    29. 29. Réalisation
    30. 30. Introduction 25 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Les outils de réalisation Tests et Résultats Conclusion et Perspectives Les Outils de Réalisation Web Services « Users » Firewall NetfilterQueue CGI-BIN
    31. 31. Introduction 26 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Les outils de réalisation Tests et Résultats Conclusion et Perspectives Web Services « Users » (1/2) Web Services « Users » Firewall Développement du Web Service « Users ». Ce Web Service comporte 4 méthodes: 1. Login (username:string, password:string):string 2. Subscribe (nom&prénom:string, …etc.):void 3. Search(item:string):string 4. Ping(host:string):string
    32. 32. Introduction 27 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Les outils de réalisation Tests et Résultats Conclusion et Perspectives Web Services « Users » (2/2) Web Services « Users » Firewall ‘ OR 1 = 1 -- Injection SQL
    33. 33. Introduction 28 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Les outils de réalisation Tests et Résultats Conclusion et Perspectives Noyau de Protection Web Services « Users » Firewall # iptables -I INPUT -d 192.168.0.0/24 -j NFQUEUE –queue-num 1 from netfilterqueue import NetfilterQueue from verification import verifier def verif(pkt) : if not (SOAPmessage(pkt.get_payload()) : pkt.accept() else : if verifier(pkt.get_payload()) : pkt.accept() else : pkt.drop() nfqueue = NetfilterQueue() nfqueue.bind(1, verif) try : nfqueue.run() except KeyboardInterrupt : print
    34. 34. Introduction 29 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Les outils de réalisation Tests et Résultats Conclusion et Perspectives Noyau d’Administration Web Services « Users » Firewall L’administrateur doit s’authentifier, pour pouvoir accéder au panneau d’administration. L’administrateur peut consulter les profils Web Service afin d’ajouter un nouveau profil, modifier ou supprimer un déjà existant. L’administrateur peut consulter la configuration et le journal des évènements
    35. 35. Tests et Résultats
    36. 36. Introduction 30 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les données utilisées Résultats Synthèse Données d’Apprentissage Données de Test 1000 messages 500 messages 5000 messages 500 messages 10000 messages 500 messages Test Méthode Login Injections SQL 170 messages Injections de 30 messages commandes OS Messages Bons existants dans le Vecteur Moyen 150 messages Messages Bons nouveaux 150 messages Total 500 message Test Méthode Subscribe Injections XML 123 messages Injections XPath 78 messages Messages Bons 151 messages existants dans le Vecteur Moyen Messages Bons nouveaux 150 messages Total 502 messages
    37. 37. Introduction 31 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les mesures de performances Résultats Synthèse Mesure Signification Taux de Faux Positifs (FP) le taux d’instances identifiés à tort comme « malveillant » Taux de Faux Négatifs (FN) le taux d’instances « malveillant » identifiés comme « bon » Matrice de Confusion Courbe de ROC et son AUC
    38. 38. Introduction 32 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (1/14) Résultats Synthèse 5 Méthode Login 1000 messages 12 44 68 0 7 9 12 N=2 N=3 N=4 N=5 FP FN
    39. 39. Introduction 33 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (2/14)
    40. 40. Introduction 34 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (3/14) Résultats Synthèse Méthode Login 5000 messages 3 7 56 81 5 18 52 53 N=2 N=3 N=4 N=5 FP FN
    41. 41. Introduction 35 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (4/14)
    42. 42. Introduction 36 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (5/14) Résultats Synthèse 3 Méthode Login 10000 messages 23 76 132 5 8 8 20 N=2 N=3 N=4 N=5 FP FN
    43. 43. Introduction 37 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (6/14)
    44. 44. Les résultats (7/14) Introduction 38 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Echantillon N=2 N=3 N=4 N=5 1000 1949 9642 17926 22721 5000 2936 17794 35314 46578 10000 2965 18936 41686 59865 Les différents Tailles du Vecteur Moyen méthode login
    45. 45. Introduction 39 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (8/14) Résultats Synthèse 15 Méthode Subscribe 1000 messages 23 53 97 13 52 104 131 N=2 N=3 N=4 N=5 FP FN
    46. 46. Introduction 40 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (9/14)
    47. 47. Introduction 41 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (10/14) Résultats Synthèse 8 Méthode Subscribe 5000 messages 16 24 31 13 0 52 102 N=2 N=3 N=4 N=5 FP FN
    48. 48. Introduction 42 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (11/14)
    49. 49. Introduction 43 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Conclusion et Perspectives Les résultats (12/14) Résultats Synthèse 5 Méthode Subscribe 10000 messages 16 16 11 13 0 45 60 N=2 N=3 N=4 N=5 FP FN
    50. 50. Introduction 44 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Les résultats (13/14)
    51. 51. Les résultats (14/14) Introduction 45 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Echantillon N=2 N=3 N=4 N=5 1000 922 6741 22535 37705 5000 1086 8530 39219 97168 10000 1130 9064 46020 133118 Les différents Tailles du Vecteur Moyen méthode subscribe
    52. 52. Introduction 46 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Les données utilisées Résultats Synthèse Conclusion et Perspectives Synthèse L’utilisation de la méthode khi-2 avec les n-grammes donne une bonne détection des attaques par injection contre les web services. L’augmentation de l’échantillon d’apprentissage permet d’augmenter la précision du firewall en réduisant le taux des faux négatifs. L’utilisation du seuil 0.05 et les bigrammes (n=2) et les trigrammes (n=3) donne la meilleure détection.
    53. 53. Conclusion et Perspectives
    54. 54. Introduction 47 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Conclusion Les Web services sont confrontés à plusieurs types d’attaques qui sont de types injection. La représentation en n-grammes et le test de Khi-2 sont utilisées dans plusieurs de domaines. Concevoir et implémenter un Firewall XML utilisant les n-grammes et le test de Khi-2 pour détecter les attaques par injection sur les web services. Résultats de tests très satisfaisants. Conclusion Perspectives La configuration proposée est n=3 et seuil=0.05.
    55. 55. Introduction 48 Web Services Attaques par injection sur les Web Services Les n-grammes et test de Khi-2 Conception Réalisation Tests et Résultats Conclusion et Perspectives Perspectives Conclusion Perspectives Réduire la taille du vecteur moyen, en n’utilisant que les paramètres des méthodes pour accélérer le processus de détection. Elargir la solution à d’autres types d’injections connues dans le web. Etendre le champ de détection du système vers les attaques XDOS. Proposer d’autres algorithmes de sécurisation.
    56. 56. Merci pour votre attention
    57. 57. Questions

    ×