Valider vos objets Java contre les attaques XSS , SPEL Injection et LDAP injection

By

Bonjour à toutes et à tous,

Nous allons parler de la validation de nos objets dans le développement d'APIs RESTFull.

Il existe plusieurs failles de sécurité dans le monde d'APIs RESTFull.

Les failles de sécurité les plus connus dans le développement d'APIs avec Spring Boot sont:

- L'injection XSS (Cross Site Scripting) qui ajoute  du code le plus souvent côté client (Javascript) dans nos beans Java.

- L'injection SPEL (Spring Expression Language) consiste à injecter une expression language de Spring dans nos objets.

- L'injection LDAP permet d'ajouter des expressions LDAP dans les objets ayant pour but d'introduire une valeur indésirable dans le fonctionnement du serveur.

Comment valide t-on nos objets ?

Pour nous prévenir de ses attaques nous allons utiliser le mécanisme de validation de l'API javax.validation avec son implémentation standard hibernate-validator.

Il existe plusieurs options de validation des objets contre ces différentes attaques. Les plus simples seront utilisées puisque l'idée est tout de même une validation.

De façon générale la validation consiste à créer des annotations et leurs validateurs pour ensuite annoter les champs des beans que nous voulons protéger.

Dans le cas d'une validation contre la faille XSS une librairie bien connue permet de le faire (jsoup).

En effet cette libraire permet de supprimer toutes les variables utilisées dans le monde du WEB (HTML, CSS, JS..) des champs de nos objets.

Pour la validation SPEL et LDAP nous allons utiliser des expressions régulières à l'aide de l'API Pattern présent dans le package java.util.regex.Pattern.

Vous pouvez vous référer à la source du projet de test pour une bonne compréhension de la validation des objets disponible ici .

N'hésitez à me revenir en cas de besoin sur la validation des objets.

En vous souhaitant bonne lecture.
Patrick BEUGRE

Location: 06410 Biot, France

Comments

Post a Comment

Popular posts from this blog

Apprendre le framework de Java (Spring Boot, 1ère partie)

By
Bonjour cher tous, Je vais vous parler du framework de Java (Spring Boot) le plus utilisé pour produire des services WEB. On ne parlera  pas de Spring Boot sans connaître ce qu'est un service Web. Un service Web de façon basique est un ensemble de fonctions (au sens informatique) qu'on expose à travers des URL ( https://fr.wikipedia.org/wiki/Service_web ). Par exemple http://localhost:8080/user/getByCriteria (récupérer la liste des utilisateurs d'une base de données). Egalement une notion importante à comprendre est : framework Un framework (en Anglais brique) est un ensemble de briques logicielles destinées à réduire le travail du développeur tout en améliorant la qualité de service.  Cette manière de développer permet de ne plus commencer de zéro mais avec une base. Dans notre cas nous utilisons Spring Boot pour développer nos services REST. Pour ce faire nous utilisons l'IDE adapté STS (Spring Tools Suite ) disponible pour les plateformes L
Read more

Apprendre le framework de Java (Spring Boot, 2ème partie)

By
  Bonjour cher tous, Nous avons vu les bases du framework Java (Spring Boot) dans la première partie ( Apprendre le framework de Java (Spring Boot, 1ère partie). Vous devez lire la première partie de ce tutoriel avant de commencer cette partie. Nous allons dans la deuxième utiliser une fonctionnalité de la première  pour l'améliorer. La fonctionnalité est l'envoi de mail. En effet l'envoi de mail était un simple text, nous allons utiliser un moteur de template pour le personnaliser. L'envoi de mail personnalisé et un élément important dans la mise en place d'une application web, mobile et bien d'autres. Cette manière de faire permet à l'utilisateur d'être confiant de votre application et permet d'informer l'utilisateur sur plusieurs produits de votre boutique en ligne (dans le cas d'un site e-commerce) avant même de se rendre sur le site. La plupart des services REST en Spring Boot sont exposés via le Web, donc doiv
Read more

Apprendre le framework de Python (Flask 1ère partie )

By
Bonjour cher tous, Nous allons parler d'un framework puissant de python Flask . Flask est un framework python qui permet de développer des applications web. Nous allons parler du module web  à travers Flask RESTful . Flask RESTFul est une extension de Flask qui permet de créer très rapidement des APIs RESTFul. La mise en place d'un service REST en python via Flask devient très simple. Dans ce tutoriel nous allons voir ensemble comment exposer un service web par interaction avec une base de données MYSQL. Pour ce faire nous allons ajouter le module Flask MySQL au premier. Le projet est détaillé à cette URL ( https://github.com/yakketyyak/flask-base ) Toutes les méthodes sont disponibles actuellement create (création) , update(mise à jour), delete (suppression) et getAll (récupération de la liste des utilisateurs). Merci et à très bientôt Patrick
Read more