設計差異引發WebServices 安全性問題

2021-09-08 23:44:06 字數 2309 閱讀 2396

隨著web services應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。「廠商們已經開發了一整套標準來保護web services事務處理的安全」,forrester研究中心的randy heffner說道。 

最近,對webservices的關注程度仍在提高,而事實上對web services的關注也有其理由,這種建立應用的新方法允許組織或者企業使用其內部系統與合作夥伴或者客戶交換資訊,給企業應用帶來了很大的方便。 

隨著webservices的潛在價值被越來越多的人意識到,這項應用也給許多公司帶來了新的安全問題。「webservices在傳統的安全技術身上穿了洞」,zap think公司的高階分析師jason bloomberg形象地說道。 

這些漏洞源於web services應用與傳統應用在設計上的差異。傳統應用在建立時即保證其執行時是「線性」的,即資訊是按照有序的方式傳播。大多數安全產品都在各種關鍵點上進行資訊安全性檢查。例如,防火牆被放置在網路邊界上,保證只有被授權的使用者才能進入企業網內部。web services出現以後,資料可以從不同的入口進入內部網路,也可以從不同的出口出去。因此,許多應用可以繞過網路上的安全資訊檢查。例如,http協議使用80埠進行資料傳輸,可以繞過防火牆的安全檢查(因為防火牆預設是開放80埠的)。因此,黑客可以使用這樣眾多的入口點,繞過安全性檢查進入企業網內部,獲得企業網的控制許可權。 

被新的攻擊方式束縛

由於設計上的不同,web services應用帶來了新的攻擊型別,例如,惡意**注入攻擊,類似這種攻擊很多,但是它們大都遵循乙個原則:黑客把惡意**附加在正常**上,通過在輸入域中輸入,從而進入系統。 

這種攻擊手段在使用結構化查詢語言sql的資料庫管理系統中尤其流行。另外,xml和輕量級目錄訪問協議ldap(lightweight directory access protocol)在web services應用中被普遍使用,它們都容易進行惡意**注入。例如,如果乙個電子商務的xml應用沒有驗證它的資訊傳送目標的安全性,黑客就可能獲得客戶的敏感資訊,諸如銀行卡卡號、信用卡資訊等。使用ldap惡意**注入,攻擊者可以訪問公共目錄,訪問客戶的聯絡資訊,諸如email位址和個人住址等。 

為了應對這樣的攻擊,公司不得不確保自己應用程式的安全性,而不是企業網路的安全。然而,大多數的安全工具不是這樣設計的。公司往往有種錯誤的認識:他們使用了安全套接層協議(ssl)來加密點對點傳輸,就可以免受惡意**的攻擊。事實上,這並不是應對惡意**注入攻擊的有效方法。 

準備新的套件

隨著webservices應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。「廠商們已經開發了一整套標準來保護web services事務處理的安全」,forrester研究中心的randy heffner說道。 

這些成套的標準被稱為wss框架(web services security framework),它能夠保證soap傳輸的安全性,soap是目前最流行的一種web service協議。資訊大都是使用http協議傳輸,但原則上可以使用任何一種協議。wss框架使得公司能夠加密、簽名和認證soap訊息。 

許多組織實現了這個層面上的安全性。「過去的幾年,幾乎所有的產品和開發工具都支援wss」,burton group的副總裁thomas manes說道。 

誰在另一端?

即使公司採取了這些措施,也仍然要面對安全漏洞。「現實是,公司需要一種方法知道web services事務處理的另一端是誰」,heffner說道。 

libertyalliance正致力於聯合認證的研究,如果進行web services通訊的雙方有同一種安全「信令」,一方就可以擔保另一方的安全性。oasis則致力於開發ws-federation,它支援擁有不同型別的安全「信令」的雙方的安全交易。 

聯合認證的研究正處於初期成型階段,而且已經被許多公司的產品採用。目前的狀況是:即使web services有安全漏洞,公司仍然通過配置使用它們。「有百分之六十的公司實現了自己的web services」,zap think的bloomberg說道。 

權衡風險vs. 酬勞

大概有三分之一的企業使用web services和第三方客戶合作者或者**商進行資訊交換。「公司有時寧可冒一定的風險,因為他們相對確定連線的另一方是安全的。」heffner解釋道。 

另外,黑客目前不會把注意力集中在web services應用上。儘管取了迅速的發展,web services應用的數量仍然相對比較少。所以,黑客們目前還是把精力放在了利用諸如微軟windows作業系統等應用廣泛的軟體產品的安全漏洞上。 

儘管webservices的安全性不完美,但是由於其易用性,許多組織和公司都仍然願意使用它。

設計差異引發WebServices 安全性問題

隨著web services應用的發展,廠商們試圖得出一套成型的方法來保證應用層資訊保安。廠商們已經開發了一整套標準來保護web services事務處理的安全 forrester研究中心的randy heffner說道。最近,對webservices的關注程度仍在提高,而事實上對web servi...

OKHTTP3版本差異引發衝突

okhttp3作為乙個android開源網路框架,已經被廣泛應用了,版本也是常有更新,比如說從3.13.0之後不再支援android5.0以下的系統。能夠廣泛使用,充分說明了它的實用性,但正是它的廣泛使用,我遇到了一些相容性問題。專案使用的不同包,他們使用的okhttp3版本差異使得無法相容。一般遇...

HDFS 與 GFS 的設計差異

後端分布式系列 前面關於 hdfs 的一些文章介紹了它的整體架構和一些關鍵部件的設計實現要點。我們知道 hdfs 最早是根據 gfs google file system 的 概念模型來設計實現的。然後呢,我就去把 gfs 的原始 找出來仔細看了遍,gfs 的整體架構圖如下 hdfs 參照了它所以大...