Sicher in die Cloud mit Angular 2 und Spring Boot

Andreas FalkGerman OWASP Day

29.11.2016

Andreas Falk / GermanyNovaTec Consulting GmbHandreas.falk@novatec-gmbh.de

@agile_security

AgileThreat Modeling

Spring

SecurityScrum

Code ReviewClea

deStatic Analysis

ArchitectureOWASP

Java EE

IoTBDD

OAuth2

DevOpsProduct Owner

Entwicklung

Betrieb

InfoSec

Crossfunktionale Teams

DevOpsProduct Owner

Entwicklung

Betrieb

InfoSec

Crossfunktionale Teams

Identity Server

Angular 2

API Gateway

Microservice

HTTPS HTTPS

Architektur / Threat Model

Angular 2https://angular.io

https://angularjs.blogspot.de/2016/09/angular-16-expression-sandbox-removal.html

Angular 1.x

Angular 2

https://github.com/angular/angular/issues/8511

Sicherheitseinstufung in Angular 2Alle Werte (Alles was ins DOM wandert)

Angular Templates (Vorsicht: Template-Injection)

Kontextabhängige Sanitization und EscapingHTML (z.B. Bindings mit „innerHtml“)

Style (CSS Bindings)

URL (URL Eigenschaften wie <a href>

Resource URL (z.B. <image src> oder <script src>)

https://angular.io/docs/ts/latest/api/platform-browser/index/DomSanitizer-class.html

„Double Submit Cookie“ Support in Angular 2

XSRF-TOKEN Cookie

Client ServerX-XSRF-TOKEN Header +

XSRF-TOKEN Cookie

CSRF Schutz

Backendhttps://spring.io/platform

Spring Boot

Spring Security

Spring Data JPA

Spring Framework

Eine sichere Web-Anwendung in 5 Minuten

Authentifizierung aller URLs

Session Fixation Schutz

Session Cookie (HttpOnly, Secure)

CSRF Angriffschutz

Security Response Header

„Secure By Default“ Konfiguration

@Configurationpublic class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

@Override protected void configure(HttpSecurity http) throws Exception { … http .csrf().csrfTokenRepository( CookieCsrfTokenRepository.withHttpOnlyFalse() );}

CSRF Konfiguration für Angular 2

public interface PasswordEncoder { String encode(CharSequence rawPassword);

boolean matches( CharSequence rawPassword, String encodedPassword);}

Sichere Passwortverschlüsselung

Encoder Implementierungen:

BCryptPasswordEncoder

SCryptPasswordEncoder

Pbkdf2PasswordEncoder

BytesEncryptor (BouncyCastle)

Authorization Server

Client Resource Server

OAuth2 = Autorisierung

https://oauth.net/2

OpenID Connect = Authentifizierung

https://openid.net/connect

OAuth 2

JWT JWS JWE

OpenID Connect

Tweetable OAuth2 Application

https://github.com/IdentityServer/IdentityServer3

@Entitypublic class Person extends AbstractPersistable<Long> {

@NotNull @Pattern(regexp = "^[A-Za-z0-9- ]{1,30}$") private String lastName;

@NotNull @Enumerated(EnumType.STRING) private GenderEnum gender; ...}

Input ValidierungTypisierung und Bean Validation (REST Interface UND in JPA Entity)

@Query("select u from User u where u.username = " + " :username and u.password = :password")User findByUsernameAndPassword( @Param("username") String username, @Param("password") String password);

SQL Injection SchutzPrepared Statements mit Spring Data JPA

public class UserBoundaryService {

@PreAuthorize("hasRole('ADMIN')") public List<User> findAllUsers() {…}}-------------------------------------public class TaskBoundaryService {

@PreAuthorize("hasPermission(#task.getProject().getId(), @permissionTargetType.PROJECT, @accessType.WRITE)") public Task createTask(Task task) {…}}

Autorisierung der REST APIRollen- oder Rechtebasiert

public class AuthorizationIntegrationTest {

@WithMockUser(roles = "ADMIN") @Test public void verifyFindAllUsersIsAuthorized() {…}

@WithMockUser(roles = "USER") @Test(expected = AccessDeniedException.class) public void verifyFindAllUsersIsUnauthorized() {…} …}

Test der REST APIServerseitige Tests (mit Security)

Cloud Plattformhttps://www.cloudfoundry.org/

Rotate

Repair

Repavehttps://www.youtube.com/watch?v=NUXpz0Dni50Justin Smith, Pivotal

What if every server inside my data center had a maximum lifetime of two hours?This approach would frustrate malware writers, because it limits the amount of time to exploit known vulnerabilities before they are patched.

“Justin Smith, Pivotal

Repave

Rotate

MicroserviceDB

Service Binding Credentials

RepairSpring Boot + Spring Platform

CloudFoundry Java Buildpack

CloudFoundry OPS Manager

AWS Azure OpenStack30 Cloudfoundry Releases in 2016!

Verify for Security Early and Often

Parameterize Queries

Encode Data

Validate All Inputs

DevOps / Code Reviews

Spring Data JPA

Angular 2 Kontext-Sanitizer

Typisierte Eingaben / Bean Validation

Summary (1)

https://www.owasp.org/index.php/OWASP_Proactive_Controls

Implement Identity and Authentication Controls

Implement Access Controls

Protect Data

OAuth2 + OpenID Connect

Summary (2)

Spring Security Autorisierung

Spring Security Password Encoder

Implement Logging and Intrusion Detection

Leverage Security Frameworks and Libraries

Error and Exception Handling Spring Error ControllerJava Exception Handling

Slf4J Logger, Splunk, Auditing, (AppSensor)

Spring SecuritySpring Boot + Spring Platform

Summary (3)

Andreas Falk / GermanyNovaTec Consulting GmbHandreas.falk@novatec-gmbh.de

@agile_security

Sicher in die Cloud mit Angular 2 und Spring Boot

Documents

Analyse der Microservices eines digitalen Marktplatzes ...eprints.uni-kiel.de/39982/7/thesis_fei_presentation.pdfMicroservice Architektur Spring Boot Anwendungen Symphony [ˈsɪɱ.fəˌni]:

Spring Boot Starter Твой личныйpublic.jugru.org/jpoint/2016/msk/day_1/track_4/Your own... · 2016. 7. 5. · Spring Boot Starter. @tolkv 2 2. @aatarasoff 3 3. Твой личный

Spring Boot - und gut? · Spring Testing: Unit-Tests, Integrationstests, … Spring Cloud: Tools für die Entwicklung verteilter Anwendungen (configuration management, service discovery,

SPRING // SUMMER 2021 · 2021. 1. 25. · SPRING & SUMMER LOOKBOOK 2021 ... 12 13 SPRING // SUMMER 2021 SPRING // SUMMER 2021 . COAT FALLON UD-401-0056 ... Koningin Wilhelminaplein

Java aktuell - Oracle · Beispiel in Angular2 oder Spring Boot – sowie ein Laptop und ein Smartphone ab dem ersten Tag warten auf Sie! Es wird Ihnen bei uns gefallen! Mehr Informationen

WEBENTWICKLER/IN FÜR FRONTEND UND/ODER BACKEND - hs … · JavaScript-Framework wie Angular(Js) oder jQuery zeichnen Dich aus? Im Backend arbeitest Du mit PHP oder Java/Spring Boot

Spring Reactive - QConSP · spring-boot-starter-weþfl factld> @Controller, @RequestMapping Router Functions spring-webmvc Servlet API Servlet

Frontend Architektur für Microservices - trion …...2019/05/08 · für Microservices Thomas Kruse trion development GmbH Training - Beratung - Entwicklung Kubernetes Spring Boot

Qualifikations-Profil Dipl.-Inf. Michael Wenig · KnowHow-Transfer und HandsOn-Schulung in den Bereichen Spring Boot, Ansible, Testautomatisierung Verarbeitung kryptografisch verschlüsselter

CSS Cascaded Style Sheet HTML HyperText Markup Language ...cm.tm.kit.edu/img/content/einfuerung_wasa_sose18.pdf · CSS3, JavaScript/TypeScript, Angular, Bootstrap, Spring) behandelt,

AMOLADORA ANGULAR / SMERIGLIATRICE AD ANGOLO PWS … · 2019. 12. 17. · Amoladora angular PWS 230 A1 Introducción Familiarícese con el funcionamiento del dispositivo antes de

Migrationspfade für Angular 2

PlymouthGuild.org...Spring - Summer 2016 PlymouthGuild.org Spring - Summer 2016 PlymouthGuild.org Spring - Summer 2016 PlymouthGuild.org Spring - …

HYDRA Angular-Kompensatoren für Raffinerie-Einsatz

JAX 2017 - Sicher in die Cloud mit Angular und Spring Boot

ng1 zu ng2+ migrieren - Entwicklertag...Angular = Angular 2+ = ng2 = ng Kein Angular 3 Aktuell: Angular 4.1 Release 2.0 im September 2016 Moderne Konzepte umsetzten, aktuelle Standards

Pennsylvanias Motivational Boot Camp · Pennsylvanias Motivational Boot Camp ... 4. Potential Boot Camp candidates go through an expedited classification process at Camp Hill if

Angular 2 - Routing Jax2016

Migrations Patterns von Java EE nach Spring Boot · Migrations Patterns von Java EE nach Spring Boot Du bist auch der Meinung, dass Spring-basierte Microservices die Zukunft sind?

Wann sich der Applikations-Generator jHipster lohnt - und ... · JHipster generiert Angular & Spring Boot Applikation mit unserem Datenmodell Git-Projekt wird auf Gitlab hochgeladen