SlideShare une entreprise Scribd logo
1.C’est quoi une API
2.Les types d’APIs
3.Le Web à l’ancienne Vs APIs
4.API Security Challenges
5.OWASP API Security Project & Top Ten
6. Vos premiers tests avec OWASP 10
7. Cas pratique ☺
PLAN
I- C’EST QUOI UNE API
Une interface de programmation d'application (API) est un ensemble de
règles ou de protocoles qui permettent aux programmes et aux
applications de communiquer entre eux.
En termes simples, une API est un morceau de code qui communique
avec un autre morceau de code.
Cas typique d’un client---serveur. Que ce passe t’il quand vous êtes dans
un restaurant ?
I.1- QUI UTILISE LES APIS
La liste n’est pas exhaustive
II- Les types APIs
II- LES TYPES APIS
Operation HTTP Method RESTful Web Service (API)
CREATE PUT/POST POST
READ or RETRIEVE GET GET
UPDATE PUT/POST/PATCH PUT
DELETE DELETE DELETE
• CRUD c’est l’acronyme de Create, Retrieve, Update, Delete
III- Le Web à l’ancienne Vs APIs
IV-API SECURITY CHALLENGES
Les API sont essentielles et DOIVENT être Sécurisé… Qu'il s'agisse d'une
équipe de sécurité cherchant à sécuriser son application ou d'un chasseur
de bogues trouvant des bogues dans ces programmes. Une stratégie
sécurisée doit être mise en place pour gérer et protéger les API ainsi que
les systèmes et applications qui les utilisent !
V- OWASP API SECURITY PROJECT & TOP TEN
• L'OWASP est une organisation à but non lucratif qui travaille à améliorer
la sécurité des applications et des logiciels Web.
• Erez Yalon et Inon Shkedy ont créé le projet de sécurité de l'API OWASP
et le Top Ten de la sécurité de l'API OWASP.
• A1 Broken Object Level Authorization
• A2 Broken Authentication
• A3 Excessive Data Exposure
• A4 Lack of Resources and Rate Limiting
• A5 Broken Function Level Authorization
• A6 Mass Assignment
• A7 Security Misconfiguration
• A8 Injection
• A9 Improper Assets Management
• A10 Insufficient Logging & Monitoring
V- OUTILS RECOMMANDÉS DE TESTS
VI- VOS PREMIERS TESTS AVEC OWASP 10
1. Broken ObjectLevelAuthorization
BOLA est une vulnérabilité de contrôle d'accès qui se produit lorsque
l'entrée fournie par l'utilisateur est utilisée pour accéder à d'autres
ressources auxquelles il ne devrait pas avoir accès régulièrement.
BOLA est plus connu sur InsecureDirect Object
References (IDOR)
2.Broken Authentication
• Mauvaise implémentation des méthodes d'authentification.
• Détails d'authentification sensibles comme les jetons d'authentification et les
mots de passe dans l’URL
• JWT mal configuré ( {“alg”:”NONE”} )
• L'application autorise les mots de passe et/ou les clés de cryptage faibles
• Jeton d'accès utilisé dans l'URL
VI- VOS PREMIERS TESTS AVEC OWASP 10
3. Excessive Data Exposure
• Les API peuvent exposer trop de données.
• Une exposition excessive des données peut amener les attaquants à
utiliser ces détails supplémentaires pour recueillir des informations
qu'ils ne devraient pas avoir ou les utiliser pour formuler une attaque
plus sophistiquée.
VI- VOS PREMIERS TESTS AVEC OWASP 10
4. Lack of Resources and Rate Limiting
Cela se produit lorsque les développeurs n'implémentent pas de mesures
de limitation de débit dans le code qui protégeraient l'API ou l'application
contre les attaques telles que le déni de service ou les attaques par force
brute.
VI- VOS PREMIERS TESTS AVEC OWASP 10
5. Broken Function Level Authorization
• Les attaques BFLA sont similaires aux attaques BOLA ou IDOR
• Les attaques BFLA se concentrent sur l'exploitation des rôles et des accès utilisés dans
l'API.
VI- VOS PREMIERS TESTS AVEC OWASP 10
Lorsque les API exposent des ressources ou des variables, les attaquants peuvent les
utiliser pour concevoir leurs requêtes et leurs appels afin d'accéder à des ressources
auxquelles ils ne sont pas censés accéder.
6. Mass Assignment
VI- VOS PREMIERS TESTS AVEC OWASP 10
7. Misconfiguration
Des paramètres de sécurité mal configurés dans les API ou les
applications peuvent amener les attaquants à exploiter ces paramètres
vulnérables pour exploiter l'application.
VI- VOS PREMIERS TESTS AVEC OWASP 10
8. Injection
Les attaques par injection se produisent lorsque les développeurs ne
parviennent pas à nettoyer correctement les entrées de l'utilisateur.
L'application utilise MongoDB et est vulnérable aux attaques par injection
NoSQL
VI- VOS PREMIERS TESTS AVEC OWASP 10
9. Improper Assets Management
Les versions hors production ou antérieures d'une API qui sont encore
utilisées et/ou qui ne sont pas aussi bien protégées sont des cibles
potentielles pour les attaquants
VI- VOS PREMIERS TESTS AVEC OWASP 10
Le chercheur a accédé à un ancien point de terminaison d'API public non
protégé de la base de données
https://thehackernews.com/2019/04/justdial-hacked-data-breach.html
10. Insufficient Logging & Monitoring
Sans une journalisation et une surveillance appropriées, les attaques peuvent
passer inaperçues.
Les bons coups
Utilisez des formats standard pour surveiller et consigner les API telles que les API Gateways • Journaliser les
échecs de validation des entrées, les tentatives d'authentification échouées, les accès refusés, etc... • Gardez
vos journaux protégés comme des données sensibles • Surveillez vos points de terminaison d'API à toutes les
phases (production, étape, test, développement). Réagissez aux problèmes de sécurité identifiés dans votre
API. • Évitez les données sensibles dans les journaux
VI- VOS PREMIERS TESTS AVEC OWASP 10
VII- CAS PRATIQUE ☺
VIII- CONCLUSION
Les API sont l'avenir des applications
Les API ne partagent pas certaines des vulnérabilités Web courantes, mais
ont leur propre ensemble de problèmes de sécurité
Entraînez-vous à tester et à exploiter ces vulnérabilités
Les testeurs d'intrusion et les équipes de sécurité doivent adopter le Top
10 de l'API OWASP comme ils le font avec le Top 10 OWASP ou le Top 25
SANS
Entrainez-vous
• OWASP Juice Shop (https://github.com/bkimminich/juice-shop)
• OWASP DevSlop’s Pixi App (https://github.com/DevSlop/Pixi)
• Optiv’s REST API Goat (https://github.com/optiv/rest-api-goat/)
• Tiredful API (https://github.com/payatu/Tiredful-API)
• Damn Vulnerable Web Services
(https://github.com/snoopysecurity/dvws-node)
M E R C I !
T H A N K Y O U !
QUESTIONS ?

Contenu connexe

Similaire à La sécurité des API: Quand les mauvais élèves entrent en piste.

ReST API Security
ReST API SecurityReST API Security
ReST API Security
Younes Jaaidi
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
Henrique Mukanda
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions
e-Xpert Solutions SA
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
Cyrille Grandval
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
Abdessamad TEMMAR
 
Demystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxDemystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptx
letourneur2
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
Nicolas Lourenço
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
Sébastien GIORIA
 
Spring Boot RestApi.pptx
Spring Boot RestApi.pptxSpring Boot RestApi.pptx
Investir sur son API web (in French)
Investir sur son API web (in French)Investir sur son API web (in French)
Investir sur son API web (in French)
Restlet
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPI
Takfarinas KENOUCHE
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
Samir Arezki ☁
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
Sebastien Gioria
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
Antonio Fontes
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
Prénom Nom de famille
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
Sébastien GIORIA
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
Cyber Security Alliance
 
Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API Management
Magali Boulet
 
Développement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EEDéveloppement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EE
Sabri Bouchlema
 

Similaire à La sécurité des API: Quand les mauvais élèves entrent en piste. (20)

ReST API Security
ReST API SecurityReST API Security
ReST API Security
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
 
2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions2018 06 nouvelles APIs checkpoint e-Xpert solutions
2018 06 nouvelles APIs checkpoint e-Xpert solutions
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Demystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptxDemystification de Spring Une histoire de Pattern.pptx
Demystification de Spring Une histoire de Pattern.pptx
 
La sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de BockLa sécurité sur iOS par Arnaud de Bock
La sécurité sur iOS par Arnaud de Bock
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
SonarQube et la Sécurité
SonarQube et la SécuritéSonarQube et la Sécurité
SonarQube et la Sécurité
 
Spring Boot RestApi.pptx
Spring Boot RestApi.pptxSpring Boot RestApi.pptx
Spring Boot RestApi.pptx
 
Investir sur son API web (in French)
Investir sur son API web (in French)Investir sur son API web (in French)
Investir sur son API web (in French)
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPI
 
Gestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKIGestion des APIs avec Azure API Management - Samir AREZKI
Gestion des APIs avec Azure API Management - Samir AREZKI
 
Securing your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FRSecuring your API and mobile application - API Connection FR
Securing your API and mobile application - API Connection FR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
API-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligneAPI-First pour de nouvelles expériences de commerce en ligne
API-First pour de nouvelles expériences de commerce en ligne
 
Analyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSourceAnalyser la sécurité de son code source avec SonarSource
Analyser la sécurité de son code source avec SonarSource
 
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate012014 11-06-sonarqube-asfws-141110031042-conversion-gate01
2014 11-06-sonarqube-asfws-141110031042-conversion-gate01
 
Introduction a IBM API Management
Introduction a IBM API ManagementIntroduction a IBM API Management
Introduction a IBM API Management
 
Développement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EEDéveloppement d'applications pour la plateforme Java EE
Développement d'applications pour la plateforme Java EE
 

Plus de EyesOpen Association

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
EyesOpen Association
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
EyesOpen Association
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
EyesOpen Association
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
EyesOpen Association
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
EyesOpen Association
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
EyesOpen Association
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
EyesOpen Association
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
EyesOpen Association
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
EyesOpen Association
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
EyesOpen Association
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
EyesOpen Association
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
EyesOpen Association
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
EyesOpen Association
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
EyesOpen Association
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
EyesOpen Association
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
EyesOpen Association
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
EyesOpen Association
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
EyesOpen Association
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A)
EyesOpen Association
 

Plus de EyesOpen Association (20)

COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATIONCOLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
COLLECT AND ANALYZE RAM FOR DIGITAL INVESTIGATION
 
Ransomware : Challenges and best practices
Ransomware : Challenges and best practices Ransomware : Challenges and best practices
Ransomware : Challenges and best practices
 
Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus Gestion des Incidents: prendre le contrôle de votre processus
Gestion des Incidents: prendre le contrôle de votre processus
 
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
Art du threat Modeling : Modéliser les menaces informatiques avec la méthode ...
 
Case studies in cybersecurity strategies
Case studies in cybersecurity strategiesCase studies in cybersecurity strategies
Case studies in cybersecurity strategies
 
Cyber and information security operations and assurance
Cyber and information security operations and assurance Cyber and information security operations and assurance
Cyber and information security operations and assurance
 
Zero Trust : How to Get Started
Zero Trust : How to Get StartedZero Trust : How to Get Started
Zero Trust : How to Get Started
 
CTFaaS pour la cybereducation
CTFaaS pour la cybereducationCTFaaS pour la cybereducation
CTFaaS pour la cybereducation
 
Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques Phishing mails: Bonnes pratiques
Phishing mails: Bonnes pratiques
 
Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...Internal and External threats to a corporate network : Bypassing perimeter de...
Internal and External threats to a corporate network : Bypassing perimeter de...
 
Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work Cybersecurity Competencies and the Future of Work
Cybersecurity Competencies and the Future of Work
 
Approche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active DirectoryApproche de sécurisation des identités: Cas de Active Directory
Approche de sécurisation des identités: Cas de Active Directory
 
Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI Cyber threat intelligence avec Open CTI
Cyber threat intelligence avec Open CTI
 
Le rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécuritéLe rôle de la sensibilisation et de la formation à la cybersécurité
Le rôle de la sensibilisation et de la formation à la cybersécurité
 
Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture Cyber psychology: Understand your cyber security mental health culture
Cyber psychology: Understand your cyber security mental health culture
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
Cyberguerre et Cyberdéfense: les nouveaux enjeux pour l’Afrique
 
Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...Report: Digital Transformation and Application Security Posture in West and C...
Report: Digital Transformation and Application Security Posture in West and C...
 
Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management Effective Information Security Risk and Controls Management
Effective Information Security Risk and Controls Management
 
Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A) Cybersecurity in Mergers and Acquisitions (M&A)
Cybersecurity in Mergers and Acquisitions (M&A)
 

La sécurité des API: Quand les mauvais élèves entrent en piste.

  • 1.
  • 2. 1.C’est quoi une API 2.Les types d’APIs 3.Le Web à l’ancienne Vs APIs 4.API Security Challenges 5.OWASP API Security Project & Top Ten 6. Vos premiers tests avec OWASP 10 7. Cas pratique ☺ PLAN
  • 3. I- C’EST QUOI UNE API Une interface de programmation d'application (API) est un ensemble de règles ou de protocoles qui permettent aux programmes et aux applications de communiquer entre eux. En termes simples, une API est un morceau de code qui communique avec un autre morceau de code. Cas typique d’un client---serveur. Que ce passe t’il quand vous êtes dans un restaurant ?
  • 4. I.1- QUI UTILISE LES APIS La liste n’est pas exhaustive
  • 6. II- LES TYPES APIS Operation HTTP Method RESTful Web Service (API) CREATE PUT/POST POST READ or RETRIEVE GET GET UPDATE PUT/POST/PATCH PUT DELETE DELETE DELETE • CRUD c’est l’acronyme de Create, Retrieve, Update, Delete
  • 7. III- Le Web à l’ancienne Vs APIs
  • 8. IV-API SECURITY CHALLENGES Les API sont essentielles et DOIVENT être Sécurisé… Qu'il s'agisse d'une équipe de sécurité cherchant à sécuriser son application ou d'un chasseur de bogues trouvant des bogues dans ces programmes. Une stratégie sécurisée doit être mise en place pour gérer et protéger les API ainsi que les systèmes et applications qui les utilisent !
  • 9. V- OWASP API SECURITY PROJECT & TOP TEN • L'OWASP est une organisation à but non lucratif qui travaille à améliorer la sécurité des applications et des logiciels Web. • Erez Yalon et Inon Shkedy ont créé le projet de sécurité de l'API OWASP et le Top Ten de la sécurité de l'API OWASP. • A1 Broken Object Level Authorization • A2 Broken Authentication • A3 Excessive Data Exposure • A4 Lack of Resources and Rate Limiting • A5 Broken Function Level Authorization • A6 Mass Assignment • A7 Security Misconfiguration • A8 Injection • A9 Improper Assets Management • A10 Insufficient Logging & Monitoring
  • 11. VI- VOS PREMIERS TESTS AVEC OWASP 10 1. Broken ObjectLevelAuthorization BOLA est une vulnérabilité de contrôle d'accès qui se produit lorsque l'entrée fournie par l'utilisateur est utilisée pour accéder à d'autres ressources auxquelles il ne devrait pas avoir accès régulièrement. BOLA est plus connu sur InsecureDirect Object References (IDOR)
  • 12. 2.Broken Authentication • Mauvaise implémentation des méthodes d'authentification. • Détails d'authentification sensibles comme les jetons d'authentification et les mots de passe dans l’URL • JWT mal configuré ( {“alg”:”NONE”} ) • L'application autorise les mots de passe et/ou les clés de cryptage faibles • Jeton d'accès utilisé dans l'URL VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 13. 3. Excessive Data Exposure • Les API peuvent exposer trop de données. • Une exposition excessive des données peut amener les attaquants à utiliser ces détails supplémentaires pour recueillir des informations qu'ils ne devraient pas avoir ou les utiliser pour formuler une attaque plus sophistiquée. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 14. 4. Lack of Resources and Rate Limiting Cela se produit lorsque les développeurs n'implémentent pas de mesures de limitation de débit dans le code qui protégeraient l'API ou l'application contre les attaques telles que le déni de service ou les attaques par force brute. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 15. 5. Broken Function Level Authorization • Les attaques BFLA sont similaires aux attaques BOLA ou IDOR • Les attaques BFLA se concentrent sur l'exploitation des rôles et des accès utilisés dans l'API. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 16. Lorsque les API exposent des ressources ou des variables, les attaquants peuvent les utiliser pour concevoir leurs requêtes et leurs appels afin d'accéder à des ressources auxquelles ils ne sont pas censés accéder. 6. Mass Assignment VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 17. 7. Misconfiguration Des paramètres de sécurité mal configurés dans les API ou les applications peuvent amener les attaquants à exploiter ces paramètres vulnérables pour exploiter l'application. VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 18. 8. Injection Les attaques par injection se produisent lorsque les développeurs ne parviennent pas à nettoyer correctement les entrées de l'utilisateur. L'application utilise MongoDB et est vulnérable aux attaques par injection NoSQL VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 19. 9. Improper Assets Management Les versions hors production ou antérieures d'une API qui sont encore utilisées et/ou qui ne sont pas aussi bien protégées sont des cibles potentielles pour les attaquants VI- VOS PREMIERS TESTS AVEC OWASP 10 Le chercheur a accédé à un ancien point de terminaison d'API public non protégé de la base de données https://thehackernews.com/2019/04/justdial-hacked-data-breach.html
  • 20. 10. Insufficient Logging & Monitoring Sans une journalisation et une surveillance appropriées, les attaques peuvent passer inaperçues. Les bons coups Utilisez des formats standard pour surveiller et consigner les API telles que les API Gateways • Journaliser les échecs de validation des entrées, les tentatives d'authentification échouées, les accès refusés, etc... • Gardez vos journaux protégés comme des données sensibles • Surveillez vos points de terminaison d'API à toutes les phases (production, étape, test, développement). Réagissez aux problèmes de sécurité identifiés dans votre API. • Évitez les données sensibles dans les journaux VI- VOS PREMIERS TESTS AVEC OWASP 10
  • 22. VIII- CONCLUSION Les API sont l'avenir des applications Les API ne partagent pas certaines des vulnérabilités Web courantes, mais ont leur propre ensemble de problèmes de sécurité Entraînez-vous à tester et à exploiter ces vulnérabilités Les testeurs d'intrusion et les équipes de sécurité doivent adopter le Top 10 de l'API OWASP comme ils le font avec le Top 10 OWASP ou le Top 25 SANS Entrainez-vous • OWASP Juice Shop (https://github.com/bkimminich/juice-shop) • OWASP DevSlop’s Pixi App (https://github.com/DevSlop/Pixi) • Optiv’s REST API Goat (https://github.com/optiv/rest-api-goat/) • Tiredful API (https://github.com/payatu/Tiredful-API) • Damn Vulnerable Web Services (https://github.com/snoopysecurity/dvws-node)
  • 23. M E R C I ! T H A N K Y O U ! QUESTIONS ?