Les Web Services ont longtemps été considérés comme un nouveau serpent de mer technologique.
Maintenus dans un état expérimental depuis plus de 5 ans, ils ont soudainement envahi les nouvelles infrastructures applicatives.
Les termes XML, SOAP ou WS-Security deviennent récurrents et sont couramment utilisés en termes simplistes, faute de comprendre réellement ce dont il s'agit. Ils masquent pourtant une réalité dont la complexité est étonnante.
Les ingrédients du cocktail "méconnaissance + complexité" étant réunis il est inévitable que la sécurité soit une fois de plus laissée pour compte, volontairement ou non. Il devient donc urgent de prendre conscience des risques induits par le déploiement de telles technologies, faute de quoi elles deviendront un véritable cheval de Troie.
L'objectif de cette présentation est d’analyser les types d’attaques possibles, dans certains cas d’en démontrer pratiquement l’impact (dont un exemple « rare » de blind xpath injection), et de voir dans quelle mesure il est possible de s’en prévenir.
