設計差異引發WebServices 安全性問題

　　随着Web Services應用的發展，廠商們試圖得出一套成型的方法來保證應用層資訊安全。“廠商們已經開發了一整套标準來保護Web Services事務處理的安全”，Forrester研究中心的Randy Heffner說道。 

　　最近，對WebServices的關注程度仍在提高，而事實上對Web Services的關注也有其理由，這種建立應用的新方法允許組織或者企業使用其内部系統與合作夥伴或者客戶交換資訊，給企業應用帶來了很大的友善。 

　　随着WebServices的潛在價值被越來越多的人意識到，這項應用也給許多公司帶來了新的安全問題。“WebServices在傳統的安全技術身上穿了洞”，Zap Think公司的進階分析師Jason Bloomberg形象地說道。 

　　這些漏洞源于Web Services應用與傳統應用在設計上的差異。傳統應用在建立時即保證其運作時是“線性”的，即資訊是按照有序的方式傳播。大多數安全産品都在各種關鍵點上進行資訊安全性檢查。例如，防火牆被放置在網絡邊界上，保證隻有被授權的使用者才能進入企業網内部。Web Services出現以後，資料可以從不同的入口進入内部網絡，也可以從不同的出口出去。是以，許多應用可以繞過網絡上的安全資訊檢查。例如，HTTP協定使用80端口進行資料傳輸，可以繞過防火牆的安全檢查（因為防火牆預設是開放80端口的）。是以，黑客可以使用這樣衆多的入口點，繞過安全性檢查進入企業網内部，獲得企業網的控制權限。 

　　被新的攻擊方式束縛 

　　由于設計上的不同，Web Services應用帶來了新的攻擊類型，例如，惡意代碼注入攻擊，類似這種攻擊很多，但是它們大都遵循一個原則：黑客把惡意代碼附加在正常代碼上，通過在輸入域中輸入，進而進入系統。 

　　這種攻擊手段在使用結構化查詢語言SQL的資料庫管理系統中尤其流行。另外，XML和輕量級目錄通路協定LDAP（Lightweight Directory Access Protocol）在Web Services應用中被普遍使用，它們都容易進行惡意代碼注入。例如，如果一個電子商務的XML應用沒有驗證它的資訊發送目标的安全性，黑客就可能獲得客戶的敏感資訊，諸如銀行卡卡号、信用卡資訊等。使用LDAP惡意代碼注入，攻擊者可以通路公共目錄，通路客戶的聯系資訊，諸如Email位址和個人住址等。 

　　為了應對這樣的攻擊，公司不得不確定自己應用程式的安全性，而不是企業網絡的安全。然而，大多數的安全工具不是這樣設計的。公司往往有種錯誤的認識：他們使用了安全套接層協定（SSL）來加密點對點傳輸，就可以免受惡意代碼的攻擊。事實上，這并不是應對惡意代碼注入攻擊的有效方法。 

　　準備新的套件 

　　随着WebServices應用的發展，廠商們試圖得出一套成型的方法來保證應用層資訊安全。“廠商們已經開發了一整套标準來保護Web Services事務處理的安全”，Forrester研究中心的Randy Heffner說道。 

　　這些成套的标準被稱為WSS架構（Web Services Security framework），它能夠保證SOAP傳輸的安全性，SOAP是目前最流行的一種Web Service協定。資訊大都是使用HTTP協定傳輸，但原則上可以使用任何一種協定。WSS架構使得公司能夠加密、簽名和認證SOAP消息。 

　　許多組織實作了這個層面上的安全性。“過去的幾年，幾乎所有的産品和開發工具都支援WSS”，Burton Group的副總裁Thomas Manes說道。 

　　誰在另一端？ 

　　即使公司采取了這些措施，也仍然要面對安全漏洞。“現實是，公司需要一種方法知道Web Services事務處理的另一端是誰”，Heffner說道。 

　　LibertyAlliance正緻力于聯合認證的研究，如果進行Web services通信的雙方有同一種安全“信令”，一方就可以擔保另一方的安全性。OASIS則緻力于開發WS-Federation，它支援擁有不同類型的安全“信令”的雙方的安全交易。 

　　聯合認證的研究正處于初期成型階段，而且已經被許多公司的産品采用。目前的狀況是：即使Web Services有安全漏洞，公司仍然通過配置使用它們。“有百分之六十的公司實作了自己的Web Services”，Zap Think的Bloomberg說道。 

　　權衡風險vs. 酬勞 

　　大概有三分之一的企業使用Web Services和第三方客戶合作者或者供應商進行資訊交換。“公司有時甯可冒一定的風險，因為他們相對确定連接配接的另一方是安全的。”Heffner解釋道。 

　　另外，黑客目前不會把注意力集中在Web Services應用上。盡管取了迅速的發展，Web Services應用的數量仍然相對比較少。是以，黑客們目前還是把精力放在了利用諸如微軟Windows作業系統等應用廣泛的軟體産品的安全漏洞上。 

　　盡管WebServices的安全性不完美，但是由于其易用性，許多組織和公司都仍然願意使用它。