設計差異引發WebServices安全性問題
【http://www.enet.com.cn/esoftware/ 2007年08月21日15:48 來源:賽迪網 作者:Paul Korzeniowski/Kevin】
隨著Web Services應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。“廠商們已經開發了一整套標準來保護Web Services事務處理的安全”,Forrester研究中心的Randy Heffner說道。
最近,對WebServices的關注程度仍在提高,而事實上對Web Services的關注也有其理由,這種建立應用的新方法允許組織或者企業使用其內部系統與合作伙伴或者客戶交換資訊,給企業應用帶來了很大的方便。
隨著WebServices的潛在價值被越來越多的人意識到,這項應用也給許多公司帶來了新的安全問題。“WebServices在傳統的安全技術身上穿了洞”,Zap Think公司的高階分析師Jason Bloomberg形象地說道。
這些漏洞源於Web Services應用與傳統應用在設計上的差異。傳統應用在建立時即保證其執行時是“線性”的,即資訊是按照有序的方式傳播。大多數安全產品都在各種關鍵點上進行資訊保安性檢查。例如,防火牆被放置在網路邊界上,保證只有被授權的使用者才能進入企業網內部。Web Services出現以後,資料可以從不同的入口進入內部網路,也可以從不同的出口出去。因此,許多應用可以繞過網路上的安全資訊檢查。例如,HTTP協議使用80埠進行資料傳輸,可以繞過防火牆的安全檢查(因為防火牆預設是開放80埠的)。因此,黑客可以使用這樣眾多的入口點,繞過安全性檢查進入企業網內部,獲得企業網的控制許可權。
被新的攻擊方式束縛
由於設計上的不同,Web Services應用帶來了新的攻擊型別,例如,惡意程式碼注入攻擊,類似這種攻擊很多,但是它們大都遵循一個原則:黑客把惡意程式碼附加在正常程式碼上,通過在輸入域中輸入,從而進入系統。
這種攻擊手段在使用結構化查詢語言SQL的資料庫管理系統中尤其流行。另外,XML和輕量級目錄訪問協議LDAP(Lightweight Directory Access Protocol)在Web Services應用中被普遍使用,它們都容易進行惡意程式碼注入。例如,如果一個電子商務的XML應用沒有驗證它的資訊傳送目標的安全性,黑客就可能獲得客戶的敏感資訊,諸如銀行卡卡號、信用卡資訊等。使用LDAP惡意程式碼注入,攻擊者可以訪問公共目錄,訪問客戶的聯絡資訊,諸如Email地址和個人住址等。
為了應對這樣的攻擊,公司不得不確保自己應用程式的安全性,而不是企業網路的安全。然而,大多數的安全工具不是這樣設計的。公司往往有種錯誤的認識:他們使用了安全套接層協議(SSL)來加密點對點傳輸,就可以免受惡意程式碼的攻擊。事實上,這並不是應對惡意程式碼注入攻擊的有效方法。
準備新的套件
隨著WebServices應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。“廠商們已經開發了一整套標準來保護Web Services事務處理的安全”,Forrester研究中心的Randy Heffner說道。
這些成套的標準被稱為WSS框架(Web Services Security framework),它能夠保證SOAP傳輸的安全性,SOAP是目前最流行的一種Web Service協議。資訊大都是使用HTTP協議傳輸,但原則上可以使用任何一種協議。WSS框架使得公司能夠加密、簽名和認證SOAP訊息。
許多組織實現了這個層面上的安全性。“過去的幾年,幾乎所有的產品和開發工具都支援WSS”,Burton Group的副總裁Thomas Manes說道。
誰在另一端?
即使公司採取了這些措施,也仍然要面對安全漏洞。“現實是,公司需要一種方法知道Web Services事務處理的另一端是誰”,Heffner說道。
LibertyAlliance正致力於聯合認證的研究,如果進行Web services通訊的雙方有同一種安全“信令”,一方就可以擔保另一方的安全性。OASIS則致力於開發WS-Federation,它支援擁有不同型別的安全“信令”的雙方的安全交易。
聯合認證的研究正處於初期成型階段,而且已經被許多公司的產品採用。目前的狀況是:即使Web Services有安全漏洞,公司仍然通過配置使用它們。“有百分之六十的公司實現了自己的Web Services”,Zap Think的Bloomberg說道。
權衡風險vs. 酬勞
大概有三分之一的企業使用Web Services和第三方客戶合作者或者供應商進行資訊交換。“公司有時寧可冒一定的風險,因為他們相對確定連線的另一方是安全的。”Heffner解釋道。
另外,黑客目前不會把注意力集中在Web Services應用上。儘管取了迅速的發展,Web Services應用的數量仍然相對比較少。所以,黑客們目前還是把精力放在了利用諸如微軟Windows作業系統等應用廣泛的軟體產品的安全漏洞上。
儘管WebServices的安全性不完美,但是由於其易用性,許多組織和公司都仍然願意使用它。
相關文章
- angular-resource版本差異問題Angular
- 差異程式設計師-評《程式設計感悟》程式設計師
- 關於java安全性程式設計問題求助!!!Java程式設計
- DNS伺服器故障引發流量異常問題-VeCloudDNS伺服器Cloud
- 一個引發程式設計師們幹架的問題程式設計師
- 淺析平面設計與網頁設計的差異性網頁
- MySQL 5.5 和 5.6 預設引數值的差異總結MySql
- 程式設計師與非程式設計師的思維差異程式設計師
- Flutter 混合開發實戰問題記錄(五)1.9.1-hotfix 打包aar差異Flutter
- shell 計算時間差的問題
- 開啟mysql審計後引發的問題MySql
- 機器學習和統計模型的差異機器學習模型
- php程式碼審計之命令執行中windows/linux的差異化問題PHPWindowsLinux
- 怎樣解決程式語言之間的差異性問題?
- 從原始碼分析JSONObject因版本差異導致toString格式異常問題原始碼JSONObject
- 程式設計工種差異,你瞭解的有多少?程式設計
- MT6761/MT6762/MT6765處理器引數/原理設計差異分析資料
- 由VIP漂移引發的演算法異常問題調查和解決演算法
- 深入sql多表差異化聯合查詢的問題詳解SQL
- HTML5:大神級程式設計師和普通程式設計師差異分析HTML程式設計師
- 程式設計師的技術選擇:已開發國家和發展中國家有這些差異程式設計師
- ERP差異來源和差異處理
- 遊戲設計如何解決“去個性化”引發的遊戲言語暴力問題?遊戲設計
- Android開發中網路安全性配置問題Android
- ORACLE與MYSQL程式碼開發差異OracleMySql
- [專案管理]工程與產品開發的差異——一個老專案的經典問題專案管理
- 使用version引數解決Oracle資料泵版本差異Oracle
- MOBA遊戲分析:LOL和DO他的核心設計邏輯差異遊戲
- 聊聊Web App、Hybrid App與Native App的設計差異WebAPP
- 併發程式設計之執行緒安全性程式設計執行緒
- 介面設計問題
- 我來談談網路設計,程式設計,網管設計三者群體的差異 (轉)程式設計
- ChromeDriver版本差異Chrome
- 中西IT差異論
- Oracle歸檔引數設定問題Oracle
- reflow和repaint引發的效能問題AI
- 專案叢集引發的問題
- 從問題到程式 程式設計與C語言引論pdf程式設計C語言