Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Securing your API and mobile application - API Connection FR

Présentation effectuée dans le cadre de la API Connection de CA .

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

Securing your API and mobile application - API Connection FR

  1. 1. API  Connec*on     16  Juin  2015     Paris  -­‐  France      Sébas&en  Gioria   Sebas*en.Gioria@owasp.org   Chapter  Leader  &  Evangelist  OWASP  France   API  :  les  risques   technologiques  et  les   bonnes  pra*ques  
  2. 2. 2 http://www.google.fr/#q=sebastien gioria •  Innova*on  and  Technology  @Advens  &&    Applica*on   Security  Expert   •  OWASP  France  Leader  &  Founder  &  Evangelist,     •  OWASP  ISO  Project  &  OWASP  SonarQube  Project   Leader   •  Applica*on  Security  group  leader  for  the  CLUSIF   •  Legal  Expert  at  Cour  of  Appeal  of  Poi*ers   •  Proud  father  of  youngs  kids  trying  to  hack  my  digital  life   Twitter :@SPoint/@OWASP_France 2  
  3. 3. Agenda   •  Pourquoi  parler  de  sécurité  API  ?   •  OWASP  ?   •  Que  trouve-­‐t-­‐on  dans  une  applica*on  ?     •  Sécuriser  son  API  en  4(,2)  minutes   3  
  4. 4. Sécurité  des    API  ?   4   Votre application sera piratée Laissez moi vous mettre sur le bon chemin 4 Votre application a des chances d'être piratée ? Votre application a été piratée OUI NON NON OUI OK, Allons y
  5. 5. Nous  vivons  dans  un  monde  connecté  en  permanence,  dans  un   environnement  Digital.   v La  plupart  des  applica*ons  et  sites  Web  sont  vulnérables  à  99%   v Le   business   est   basé   majoritairement   sur   des   applica*ons   de   type   Webs   (Services,  Online  Store,  Self-­‐care,  Telcos,  SCADA,  ...)   Sécurité  Applica*ve   Age  de  l'an*virus   Age  de  la  sécurité   périmétrique   Age  de  la  sécurité   Applica*ve   5  
  6. 6. Open  Web  Applica*on  Security   Project   •  OWASP  Moto  :  “Making  Applica*on  Security  Visible”     •  Né  en  2001   •  Fonda*on  américaine,  en  France  une  associa*on   •  Citée  dans  des  tas  de  standards  et  recommanda*ons:   –  PCI-­‐DSS  (Chapitres  6.5  &&  6.6)   –  NIST   –  ANSSI  guides,     –  ....   •  L'OWASP  c'est  :     –  des  Ou*ls  ,   –  des  API,     –  de  la  Documenta*on,     –  des  Conférences,     –  des  Blogs,     –  du  Contenu  audio/video  :  youtube,    podcast,  ....  
  7. 7. 7   Apprendre   Contractualiser   Tester   Concevoir   S'améliorer  Implémenter  
  8. 8. 280 9 Applica*on      Mobile   Web  Service        API   Points d'entrée d'un pirate
  9. 9. Que  trouve-­‐t-­‐on  dans  une   applica*on  ?     DEMONSTRATION  
  10. 10. 10  
  11. 11. Sécuriser  son  API  en  4(,2)  minutes    
  12. 12. Connaître  son  ennemi   “On  ne  peut  pas  créer  une  applica*on,  tant  que  l'on  ne   sait  pas  comment  elle  sera  piratée"       Thanks  to  Royston  Robertson  www.roystonrobertson.co.uk     for  permission  to  use  his  cartoon!  
  13. 13. Connaître  son  ennemi   •  Concevoir  l'API  avec  une  approche  u*lisateur   – Les  pirates  sont  astucieux,  il  faut  imposer  les   scénarios  u*lisateurs   •  Ne  pas  se  contenter  de  sécuriser  le  lien  le  plus   faible   •  Modéliser  les  amaques  sur  l'API   – Connaître  les  fron*ères  de  confiance  
  14. 14. Chiffrer  le  trafic  et  sécuriser  les   iden*fiants  
  15. 15. Chiffrer  le  trafic  et  sécuriser  les   iden*fiants  
  16. 16. Chiffrer  le  trafic  et  sécuriser  les   iden*fiants   •  Ne  pas  stocker  de  secret  sur  le  client   –  U*liser  l'authen*fica*on  sur  le  serveur  le  plus  souvent   possible   –  U*liser  les  mécanismes  de  coffre  fort  lorsqu'ils  sont   disponibles  et  qu'un  stockage  sur  le  client  est  nécessaire   •  Imposer  TLS  par  défaut  dans  toutes  les   communica*ons     –  Cela  ne  change  pas  grand  chose  de  plus  qu'un  's'  dans   l'URL.  
  17. 17. Surveiller  le  trafic  
  18. 18. Surveiller  le  trafic  
  19. 19. Surveiller  le  trafic   •  Ne  pas  tracer  que  les  éléments  en  erreurs…   – Les  amaques  par  "scrapping"  u*lisent  des  requêtes   correctes...   •  Réagir  à  des  trafics  innatendus   – Début  d'une  amaque  par  "scrapping"  ?     •  Le  Big  Data  et  les  SIEM  peuvent  permemre  de   trouver  correctement  les  amaques  
  20. 20. Sécuriser  le  code  
  21. 21. Sécuriser  le  code  
  22. 22. Sécuriser  le  code   •  Former  les  chefs  de  projets,  les  dévelopeurs,  les  architectes,  à     la  sécurité  applica*ve.   •  Tester  et  analyser  son  code  avec  des  ou*ls  et  des  êtres   humains   –  SAST   –  DAST   –  RASP     •  U*liser  les  guides  et  documenta*ons  de  Secure  Coding  OWASP   et  du  CERT.  
  23. 23. Q/A   •  @SPoint   •  @AppSecAcademy   •  sebas*en.gioria@owasp.org   •  sebas*en.gioria@advens.fr  

    Be the first to comment

    Login to see the comments

  • esdaniel

    Jun. 16, 2015
  • sbepstein

    Jun. 21, 2015
  • LouisPhilippeBeaubie

    May. 17, 2019

Présentation effectuée dans le cadre de la API Connection de CA .

Views

Total views

1,468

On Slideshare

0

From embeds

0

Number of embeds

166

Actions

Downloads

31

Shares

0

Comments

0

Likes

3

×