設計差異引發WebServices安全性問題
【http://www.enet.com.cn/esoftware/ 2007年08月21日15:48 來源:賽迪網 作者:Paul Korzeniowski/Kevin】
隨著Web Services應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。“廠商們已經開發了一整套標準來保護Web Services事務處理的安全”,Forrester研究中心的Randy Heffner說道。
最近,對WebServices的關注程度仍在提高,而事實上對Web Services的關注也有其理由,這種建立應用的新方法允許組織或者企業使用其內部系統與合作伙伴或者客戶交換資訊,給企業應用帶來了很大的方便。
隨著WebServices的潛在價值被越來越多的人意識到,這項應用也給許多公司帶來了新的安全問題。“WebServices在傳統的安全技術身上穿了洞”,Zap Think公司的高階分析師Jason Bloomberg形象地說道。
這些漏洞源於Web Services應用與傳統應用在設計上的差異。傳統應用在建立時即保證其執行時是“線性”的,即資訊是按照有序的方式傳播。大多數安全產品都在各種關鍵點上進行資訊保安性檢查。例如,防火牆被放置在網路邊界上,保證只有被授權的使用者才能進入企業網內部。Web Services出現以後,資料可以從不同的入口進入內部網路,也可以從不同的出口出去。因此,許多應用可以繞過網路上的安全資訊檢查。例如,HTTP協議使用80埠進行資料傳輸,可以繞過防火牆的安全檢查(因為防火牆預設是開放80埠的)。因此,黑客可以使用這樣眾多的入口點,繞過安全性檢查進入企業網內部,獲得企業網的控制許可權。
被新的攻擊方式束縛
由於設計上的不同,Web Services應用帶來了新的攻擊型別,例如,惡意程式碼注入攻擊,類似這種攻擊很多,但是它們大都遵循一個原則:黑客把惡意程式碼附加在正常程式碼上,通過在輸入域中輸入,從而進入系統。
這種攻擊手段在使用結構化查詢語言SQL的資料庫管理系統中尤其流行。另外,XML和輕量級目錄訪問協議LDAP(Lightweight Directory Access Protocol)在Web Services應用中被普遍使用,它們都容易進行惡意程式碼注入。例如,如果一個電子商務的XML應用沒有驗證它的資訊傳送目標的安全性,黑客就可能獲得客戶的敏感資訊,諸如銀行卡卡號、信用卡資訊等。使用LDAP惡意程式碼注入,攻擊者可以訪問公共目錄,訪問客戶的聯絡資訊,諸如Email地址和個人住址等。
為了應對這樣的攻擊,公司不得不確保自己應用程式的安全性,而不是企業網路的安全。然而,大多數的安全工具不是這樣設計的。公司往往有種錯誤的認識:他們使用了安全套接層協議(SSL)來加密點對點傳輸,就可以免受惡意程式碼的攻擊。事實上,這並不是應對惡意程式碼注入攻擊的有效方法。
準備新的套件
隨著WebServices應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。“廠商們已經開發了一整套標準來保護Web Services事務處理的安全”,Forrester研究中心的Randy Heffner說道。
這些成套的標準被稱為WSS框架(Web Services Security framework),它能夠保證SOAP傳輸的安全性,SOAP是目前最流行的一種Web Service協議。資訊大都是使用HTTP協議傳輸,但原則上可以使用任何一種協議。WSS框架使得公司能夠加密、簽名和認證SOAP訊息。
許多組織實現了這個層面上的安全性。“過去的幾年,幾乎所有的產品和開發工具都支援WSS”,Burton Group的副總裁Thomas Manes說道。
誰在另一端?
即使公司採取了這些措施,也仍然要面對安全漏洞。“現實是,公司需要一種方法知道Web Services事務處理的另一端是誰”,Heffner說道。
LibertyAlliance正致力於聯合認證的研究,如果進行Web services通訊的雙方有同一種安全“信令”,一方就可以擔保另一方的安全性。OASIS則致力於開發WS-Federation,它支援擁有不同型別的安全“信令”的雙方的安全交易。
聯合認證的研究正處於初期成型階段,而且已經被許多公司的產品採用。目前的狀況是:即使Web Services有安全漏洞,公司仍然通過配置使用它們。“有百分之六十的公司實現了自己的Web Services”,Zap Think的Bloomberg說道。
權衡風險vs. 酬勞
大概有三分之一的企業使用Web Services和第三方客戶合作者或者供應商進行資訊交換。“公司有時寧可冒一定的風險,因為他們相對確定連線的另一方是安全的。”Heffner解釋道。
另外,黑客目前不會把注意力集中在Web Services應用上。儘管取了迅速的發展,Web Services應用的數量仍然相對比較少。所以,黑客們目前還是把精力放在了利用諸如微軟Windows作業系統等應用廣泛的軟體產品的安全漏洞上。
儘管WebServices的安全性不完美,但是由於其易用性,許多組織和公司都仍然願意使用它。
相關文章
- Akka 和 Storm 的設計差異ORM
- DNS伺服器故障引發流量異常問題-VeCloudDNS伺服器Cloud
- 一個引發程式設計師們幹架的問題程式設計師
- php程式碼審計之命令執行中windows/linux的差異化問題PHPWindowsLinux
- 從原始碼分析JSONObject因版本差異導致toString格式異常問題原始碼JSONObject
- Flutter 混合開發實戰問題記錄(五)1.9.1-hotfix 打包aar差異Flutter
- 專案升級到.Net8.0 Autofac引發詭異的問題
- 怎樣解決程式語言之間的差異性問題?
- MT6761/MT6762/MT6765處理器引數/原理設計差異分析資料
- 程式設計工種差異,你瞭解的有多少?程式設計
- 由VIP漂移引發的演算法異常問題調查和解決演算法
- 深入sql多表差異化聯合查詢的問題詳解SQL
- Android開發中網路安全性配置問題Android
- 從問題到程式 程式設計與C語言引論pdf程式設計C語言
- 刷題Phuck2--data協議差異協議
- 遊戲設計如何解決“去個性化”引發的遊戲言語暴力問題?遊戲設計
- kettle流程設計問題
- 程式碼設計問題
- 【射擊遊戲】TPS對比FPS戰鬥設計差異與心得遊戲
- MOBA遊戲分析:LOL和DO他的核心設計邏輯差異遊戲
- 關於shell上面語法和windows編輯器差異造成問題解決Windows
- SAP MM 採購訂單與相關合同的價格差異問題分析
- 解密詭異併發問題的幕後黑手:可見性問題解密
- 雲上寶庫:三大廠商物件儲存安全性及差異性比較物件
- 系統引數nofile設定不生效問題
- Android Gradle基於引數化配置實現差異化構建AndroidGradle
- API介面安全性設計思路API
- 鴻蒙程式設計江湖:ArkTS 容器與原生容器在行為上的差異鴻蒙程式設計
- 風變程式設計實現差異化教學,Python技能為人生加速程式設計Python
- python自定義異常,使用raise引發異常PythonAI
- 如何分析因為 SAP UI5 版本差異帶來的問題試讀版UI
- pseudobulk--計算差異基因(未完成0408)
- list對比差異
- windows新增計劃任務異常--問題總結Windows
- SQL執行計劃異常引起的效能問題SQL
- SQL執行計劃異常 引起的效能問題SQL
- 異常問題排查之旅
- 異構幾何問題
- 微服務異常問題微服務