打造WebService安全策略机制。
一点声明:
本人在阅读任何一篇文章时,经常会对其中不理解或者认为是有价值的知识点做以标记,以起到加深记忆的作用。
绿色:必须理解的知识点。
红色:存在疑问并需要深入的知识点。
一、前言
去年年底,应聘的几家公司均对web service的安全做出过考核,可见在电子商务网站等bs应用中,ws还是有一定的市场,
在网上查找关于ws的安全性文章也是寥寥几篇,希望本文能给您一个全新的知识点讲解。
二、概述
我们使用 Web Services 通过 Internet 向自己的客户和合作伙伴提供某个产品的服务。如果您的公司恰好为此提供产品的技术服务,也正好采用了ws做为沟通与联系的通道,那么,相信双方对ws的安全性的要求一定非常的高。在Intranet 或 Extranet 的环境下(您对两个终结点都有一定程度的控制权),可以使用操作系统和 Internet 信息服务 (IIS) 所提供的基于平台的安全服务来提供点对点的安全解决方案。然而,基于消息的 Web Services 体系结构和日益增加的跨信任边界的异构环境带来了新的挑战。这些情况需要在消息级别上解决安全问题,以支持跨平台的互操作性和通过多个中间节点进行路由。
Web Services 安全 (WS-Security) 是用来解决这些问题的最新安全标准。WSE 允许实施消息级别的安全解决方案,包括身份验证、加密和数字签名。
三、面临的威胁.
由上可以看出,使用ws作为传输通道过程中,会遭遇:未授权的访问、参数操作、网络窃听、消息回复、配置数据的泄露等五大安全威胁!可以毫不夸张的讲,这5项中有一项出现漏洞,都有可能对整个产品与服务造成损失。
四、防范措施
4.1:未授权访问
漏洞:在访问的过程中,并没有对敏感信息进行身份验证与授权,如果这样,攻击者很可能会利用弱的身份验证与授权机制对信息进行访问.包括:
a):没有使用身份验证或在未加密的通信通道中使用基本身份验证。
b):最缺乏常识的,就是密码在 SOAP 头信息中以明文形式传递。坚决杜绝此类错误发生!
