欢迎来到天天文库
浏览记录
ID:45567467
大小:106.24 KB
页数:12页
时间:2019-11-14
《Web服务攻击技术研究综述倡》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、第27卷第1期计算机应用研究Vn
2、少7N2010年]力-App1icationResearchofComputerso・1Web服务攻击技术研究综述倡黄康宇,贺正求,赖海光,吴礼发(解放军理工大学指挥自动化学院a.研究生管理大队;b.计算机系,南京210007)摘耍:Web服务在给基于界构平台的应用集成带来极人便利的同时,英自身各核心组件也而临着恶意攻击的威胁。详细分析了针对单个Web服务以及Web服务组合过程的各种常见攻击技术的原理、特点,探讨了相应的检测和防御措施,结合已有研究成果,讨论了Web服务攻击防护将来的研究方向以及面临的挑战。关键词:Web服务;安全;攻击;防御中图分类号:
3、TP303畅08文献标志码:A文章编号:1001唱3695(2010)01唱0017唱063ResearchofattacktechnologiesforWebservice(8・PoslsraduateTeam,b.Dept,ofComputer,Schoo)of0引言Web服务是一个软件系统,用來支持网络上机器到机器间的互操作。它建立在一组通用的标准协议Z上,有-个淸晰的、机器可处理的标准描述格式。其他系统便川该描述中指定的方式与Wcb服务进行交互,并使JIJSOAP消息格式进行通信。Web服务具有开放性、平台无关性、松散耦合和高度可集成等特征,已经成为面向服务体系结构(servic
4、e喑rientedarchitecture,SOA)的主婆实现方式。越来越多的组织开始在私有的局域网或虚拟专用网上配置Web服务,实施企业应用集成。然而许多组织依旧不愿意将Web服务配置在公开的广域网上,主要原因之一就是Web服务血临着很多安全问题。当前,相关标准组织提出了[诗列的规衙用于增强Web/务的安全性,如WS唱e唱[5][6][7]都存在不少固有的安全脆弱点,成为攻击者实施攻击的H标。为此,本文就单个Web服务和Web服务组合中常见的攻击方式,以及相应检测和防御方法进行介绍。实施攻击的方法包含以下儿个基本步骤:调查和评估;利川和渗透;逐步提升权限;维持访问或拒绝服务;耒授权使用
5、资源;清除或伪造活动轨迹。从这些步骤中可以得知攻击者是怎样利用Web服务实现协议上的漏洞,进行准备和实施攻击的。1畅1Web服务探测攻击探测攻击的目的是收集Web服务相关信息,是向Web服务实施攻击的第一步。这一步至关重要,攻击者能从中找到潜在的漏洞和攻击入口。攻击者可以使用WSDL扫描或利用差错信息等方式进行Web服务探测攻击。1)WSDL扫描WSDL文件是Wcb服务配置信息的描述文件,描述了Web服务的名称和位置、Web服务的方法和参数,以及Web服务的输入和输出等。这些信息可被攻击者用來寻找漏洞和攻击通道:同时,攻击者也可以基于这些已有信息去推测Web服务其他没有公开的接口。WSD
6、L文件可以轻松荻取。UDDI(universaldescription,discoveryandintegration)服务器提供了—个集中的WSDL文件资源库,攻击者可以利用UDDI來了解和定位Web服务。另外,攻击者可以通过搜索弓曙找到WSDL文件,例如使用file唱CommandAutomatioPLAUniversityofScience&Technology.Nanjing210007.China)Abstract:WebservicegreatlyfacilitatestheappIication^PPIicationintegrationbasedonheterogeneo
7、usplatform,butitsvariousfamiliarattacksonsing1eWebserviceandWebservicecomposition,andpointedoutthecorrespondingdetectionanddirectionsandthechai1engesofWebservicedefensesagainstattacks・[7]1Web服务常见攻击阻止搜索引繁索引wsDL文件,同时也应确保wsDL不包括不收稿日期:2009唱I)4唱27:修回日期:2009唱05唱28基金项目:国防预研基金资助项忖(51406020105JB8103)作者简介:
8、黄康宇(1985唱),男,江西上高人,硕士研究生,主要研究方向为网络安全.Web服务(huangkangyu_1ove@126・com);贺正求(1980唱),岔男,博士研究生,主要研究方向为Wcb服务、网络安全:栽海光(1975唱),男,讲师,博士,主要研究方向为网络安全;吴礼发(1968唱),男,教授,博士,主耍研究方向为网络安全.doi:10・3969/.issn.1001吧695・2010•0HUANGKangGu,HEZh
此文档下载收益归作者所有