使用 Rational AppScan 检测 Web services 安全漏洞.doc

使用 Rational AppScan 检测 Web services 安全漏洞 近年来 Web 服务（Web services）应用日趋广泛，人们往往利用 Web 服务集成不同平台的应用程序，或是将公共服务通过服务接口暴露给外部用户使用。然而，新技术往往同时带来新风险。由于 Web 服务直接暴露了应用程序的服务接口，且穿越了防火墙的控制，黑客可以利用 Web 服务攻击企业应用。本文旨在帮助读者识别 Web 服务的常见安全漏洞，了解如何规避这些安全漏洞，同时结合案例跟读者分享如何利用 Rational AppScan 检测 Web 服务的安全漏洞。 0?评论： 何 健, 高级软件工程师, IBM 2012 年 1 月 09 日 内容 下载试用版：IBM? Rational? AppScan 标准版??|??Web 应用安全与 IBM Rational AppScan 工具包 下载更多的?IBM 软件试用版，并加入?IBM 软件下载与技术交流群组，参与在线交流。 近年来 Web 服务应用日趋广泛，人们往往利用 Web 服务集成不同平台的应用程序，或是将公共服务通过服务接口暴露给外部用户使用。然而，新技术往往同时带来新风险。由于 Web 服务直接暴露了应用程序的服务接口，且穿越了防火墙的控制，黑客可以利用 Web 服务攻击企业应用。本文旨在帮助读者识别 Web 服务常见安全漏洞，了解如何规避这些安全漏洞，同时结合案例跟读者分享如何利用 Rational AppScan 检测 Web 服务的安全漏洞。 回页首 Web 服务技术实现了应用程序之间的跨平台、跨编程语言通信，其最基本的组成部分为服务的提供者（Service Provider）和服务的请求者（Service Requester）。两者通过基于标准的 XML 格式的协议进行通信的，这种最常用的协议就是 SOAP（Simple Object Access Protocol）。按照 Web 服务的相关标准描述，服务的提供者应该首先通过 WSDL（Web Service Definition Language）和 UDDI（Universal Description, Discovery, and Integration）发布它所提供的服务到一个统一注册这些服务信息的存储库中去。这样，服务的请求者就可以通过 WSDL 和 UDDI 发现服务提供者提供的服务，并通过应用的调用方法来使用这个服务。 对于任何应用程序来说，保护信息访问的安全都是最基本的要求。在面向服务体系架构（Service Oriented Architecture，SOA）原则构造的复杂系统环境中，Web 服务扮演着各个系统组件之间的协调员的角色，因此 Web 服务的安全性尤为重要。Web 服务客观需要业界统一的安全规范体系，使各种系统能够以一个与平台和语言无关的方式安全地互相操作。 结合 Web 服务的技术特性，下文我们从传输层、消息层及应用层进行了解 Web 服务安全相关技术及特点。 目前绝大多数 Web 服务实现主要采用了基于 HTTP 的 SOAP 协议。HTTP 协议在安全性方面相当薄弱。HTTP 协议只提供一种身份确认的认证方法，它不提供数据隐私及数据完整性方面的保护。因此，对于基于 HTTP 的 Web 服务来说，我们应尽量采用安全套接字层（Secure Sockets Layer，SSL）来保障传输数据的安全。安全套接字层协议在客户机和服务器之间建立了一条安全的信息隧道，一个加密的 SSL 连接要求所有在客户机和服务器之间传输的信息都由发送软件加密，由接收软件解密，这样就提供了高度的机密性（数据隐私）。此外，所有在加密 SSL 连接上传输的数据都由一个自动数据完整性机制保护，确保数据在传输过程中未经更改。 这样，通过 SSL 我们能保障传输数据的认证、数据完整性及保密性。但 SSL 并不能解决所有的问题，SSL 仅仅保障数据传输过程中的数据安全，也不能解决消息层面所面临的安全问题。 2002 年 IBM 和 Microsoft 发布了一个联合的安全性白皮书“Security in a Web Services World：A Proposed Architecture and Roadmap”。它定义了一个全面的 Web 服务安全性模型，该模型对几个流行的安全性模型、机制和技术（同时包括对称密钥技术和公钥技术）加以支持、集成和统一，使各种系统能够以一个与平台和语言无关的方式安全地互相操作。它还描述了一组规范和方案，指出应怎样将这些规范一起使用。 Web 服务安全性 (WS-Security) 规范主要致力于提供消息层面的安全机制，在实现上主要在 SOAP 中通过 XML Signature、XML