Les Web Services, c'est le bonheur ! Des services partout, des interfaces open bar, des annuaires serviables au-delà de toute espérance et une tonne de « normes » saturées de nos meilleurs amis « SHOULD » et « MAY ». Mais, rien ne vaut l'absence de connaissance latente dans ce domaine pour ouvrir à tous vents toutes grandes les portes des systèmes d'informations les plus critiques.
1. Itinéraire d'un enfant gâté
1.1 HTTP persiste et signe
Les fondations des Web Services sont HTTP, utilisé comme protocole de transport et XML qui constitue la base de la quasi-totalité des langages définis dans les couches applicatives. Et, rien que ça, c'est que du bonheur. Ce n'est pas tant le choix de ces standards qui pose problème que la raison pour laquelle ils ont été retenus : ils sont flexibles, ouverts et permettent de faire n'importe quoi. Et là, c'est le drame.
Bien qu'il serait plus pédagogique de commencer par la base, et donc le HTTP, je vous épargnerai les banalités sur ce protocole et les applications qui en dépendent. Il suffit de se référer au top 10 de l'OWASP, qui a été « officiellement » reconnu comme étant toujours valable pour les Web Services.
1.2 De quoi j'me XML ?
Attaquons-nous donc directement à XML. Pour bien comprendre qui est vulnérable à quoi, il faut être au courant d…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première