黑客总是寻找最容易受到攻击的受害者，那些只需要很小的努力就可以攻击的受害者。当大多数网络建立自己的周边防御时，黑客开始把目标对准了Web应用程序。现在，随着应用层防火墙的出现，黑客正在转向Web服务。

　　让我们看一下Web服务是如何发挥作用的，为什么黑客开始把Web服务当成攻击目标以及机构能够采取什么措施缓解这种威胁。

　　Web服务是如何发挥作用的

　　Web服务通过让其它应用程序访问某些功能允许连接到互联网的应用程序与它们相互交流。Web服务的范围包括从复杂的CRM系统到简单的股票报 价等各种应用程序。Web服务是采用XML、XML Schema、WSDL (Web服务解释语言)和SOAP(简单对象访问协议)等许多协议和标准建立起来的，其中许多标准和协议仍在发展之中。因为在应用的早期阶段，许多新技术 和安全问题经常容易被忽略。

　　Web服务的安全漏洞

　　Web服务面临许多与Web应用程序面临的同样的安全漏洞，如SQL注入和进程盗窃等。但是，与传统的Web页界面不同，Web服务程序更加开 放，经常连接到企业核心的应用程序和数据。这就显著提高了它的风险并且使Web服务成为一个非常吸引人的目标。Web服务通常在HTTP网络上应用，不用 重新配置防火墙就可以允许交叉网站的通讯。这对于使用老式防火墙的网络来说是有问题的，因为老实的防火墙不能分析通过HTTP网络传输的Web服务通讯。

　　Web服务威胁的保护

　　要缓解Web服务威胁，使用Web服务的企业应该部署能够检查基于XML信息的应用程序级防火墙。目前，市场上还有一些防火墙能够强制执行 XML架构规则和验证架构，实施XML病毒检查和防止XML拒绝服务攻击。如果有的话，可以使用这些防火墙。此外，还应该教育你的开发人员了解额外的与 XML有关的攻击方式。Web服务很容易受到这类攻击。这些攻击方式主要有:

　　XML身份威胁。这是身份识别攻击和窃听等传统的身份威胁的更新版本。

　　内容产生的威胁:使用实际的XML负荷发布XML病毒、SQL语句、Unix指令等。

　　操作攻击:包括XML级的拒绝服务攻击和XML炸弹。

　　下面是机构能够用来减少潜在的Web服务风险的一些额外的规则:

　　在最低的限度内，你要使用PKI身份识别用于机器与机器之间的通讯并且使用SSL用于通讯安全。

　　制定一个正在使用的资源列表。这个资源列表将向你提供有关当前安全问题的信息和与你的系统有关的软件更新和应用软件，因为新的基础设施组件容易受到攻击，必须持续不断地使用补丁和更新。

　　更新你现有的身份识别和接入控制安全策略以满足Web服务安全等Web服务技术规范。这些技术规范将解决增强SOAP消息的问题，以保护消息完整性、消息保密性和消息身份识别。

　　跟上旨在保护Web服务通讯的XML加密、XML架构和XML数字签名等其它新标准的发展。把这些标准按照需要结合到你的安全策略中。

　　最后，找到和使用一个有关如何建立安全的Web服务和Web应用程序的全面的指南，并且在开发你的服务的时候使用这个指南。OWASP(开放Web应用安全计划)计划中有这些指南。

微信公众号

TechTarget

官方微博

TechTarget中国