資源描述:
《Web服務(wù)攻擊技術(shù)研究綜述倡》由會員上傳分享�,免費在線閱讀�,更多相關(guān)內(nèi)容在工程資料-天天文庫。
1��、第27卷第1期計算機應(yīng)用研究Vn
2��、少7N2010年]力-App1icationResearchofComputerso?1Web服務(wù)攻擊技術(shù)研究綜述倡黃康宇��,賀正求����,賴海光,吳禮發(fā)(解放軍理工大學(xué)指揮自動化學(xué)院a.研究生管理大隊�����;b.計算機系���,南京210007)摘耍:Web服務(wù)在給基于界構(gòu)平臺的應(yīng)用集成帶來極人便利的同時�����,英自身各核心組件也而臨著惡意攻擊的威脅����。詳細(xì)分析了針對單個Web服務(wù)以及Web服務(wù)組合過程的各種常見攻擊技術(shù)的原理、特點���,探討了相應(yīng)的檢測和防御措施���,結(jié)合已有研究成果,討論了Web服務(wù)攻擊防護將來的研究方向以及面臨的挑戰(zhàn)��。關(guān)鍵詞:Web服務(wù)�;安全���;攻擊���;防御中圖分類號:
3、TP303暢08文獻標(biāo)志碼:A文章編號:1001唱3695(2010)01唱0017唱063ResearchofattacktechnologiesforWebservice(8?PoslsraduateTeam,b.Dept,ofComputer,Schoo)of0引言Web服務(wù)是一個軟件系統(tǒng)���,用來支持網(wǎng)絡(luò)上機器到機器間的互操作���。它建立在一組通用的標(biāo)準(zhǔn)協(xié)議Z上,有-個淸晰的���、機器可處理的標(biāo)準(zhǔn)描述格式��。其他系統(tǒng)便川該描述中指定的方式與Wcb服務(wù)進行交互����,并使JIJSOAP消息格式進行通信。Web服務(wù)具有開放性����、平臺無關(guān)性、松散耦合和高度可集成等特征��,已經(jīng)成為面向服務(wù)體系結(jié)構(gòu)(servic
4�、e喑rientedarchitecture,SOA)的主婆實現(xiàn)方式。越來越多的組織開始在私有的局域網(wǎng)或虛擬專用網(wǎng)上配置Web服務(wù)����,實施企業(yè)應(yīng)用集成。然而許多組織依舊不愿意將Web服務(wù)配置在公開的廣域網(wǎng)上��,主要原因之一就是Web服務(wù)血臨著很多安全問題��。當(dāng)前���,相關(guān)標(biāo)準(zhǔn)組織提出了[詩列的規(guī)衙用于增強Web/務(wù)的安全性�,如WS唱e唱[5][6][7]都存在不少固有的安全脆弱點,成為攻擊者實施攻擊的H標(biāo)���。為此��,本文就單個Web服務(wù)和Web服務(wù)組合中常見的攻擊方式�,以及相應(yīng)檢測和防御方法進行介紹�����。實施攻擊的方法包含以下兒個基本步驟:調(diào)查和評估���;利川和滲透;逐步提升權(quán)限����;維持訪問或拒絕服務(wù);耒授權(quán)使用
5���、資源��;清除或偽造活動軌跡���。從這些步驟中可以得知攻擊者是怎樣利用Web服務(wù)實現(xiàn)協(xié)議上的漏洞����,進行準(zhǔn)備和實施攻擊的��。1暢1Web服務(wù)探測攻擊探測攻擊的目的是收集Web服務(wù)相關(guān)信息����,是向Web服務(wù)實施攻擊的第一步。這一步至關(guān)重要�����,攻擊者能從中找到潛在的漏洞和攻擊入口�。攻擊者可以使用WSDL掃描或利用差錯信息等方式進行Web服務(wù)探測攻擊。1)WSDL掃描WSDL文件是Wcb服務(wù)配置信息的描述文件���,描述了Web服務(wù)的名稱和位置�����、Web服務(wù)的方法和參數(shù)���,以及Web服務(wù)的輸入和輸出等。這些信息可被攻擊者用來尋找漏洞和攻擊通道:同時,攻擊者也可以基于這些已有信息去推測Web服務(wù)其他沒有公開的接口�����。WSD
6����、L文件可以輕松荻取。UDDI(universaldescription,discoveryandintegration)服務(wù)器提供了—個集中的WSDL文件資源庫��,攻擊者可以利用UDDI來了解和定位Web服務(wù)�。另外,攻擊者可以通過搜索弓曙找到WSDL文件���,例如使用file唱CommandAutomatioPLAUniversityofScience&Technology.Nanjing210007.China)Abstract:WebservicegreatlyfacilitatestheappIication^PPIicationintegrationbasedonheterogeneo
7�、usplatform,butitsvariousfamiliarattacksonsing1eWebserviceandWebservicecomposition,andpointedoutthecorrespondingdetectionanddirectionsandthechai1engesofWebservicedefensesagainstattacks?[7]1Web服務(wù)常見攻擊阻止搜索引繁索引wsDL文件��,同時也應(yīng)確保wsDL不包括不收稿日期:2009唱I)4唱27:修回日期:2009唱05唱28基金項目:國防預(yù)研基金資助項忖(51406020105JB8103)作者簡介:
8���、黃康宇(1985唱),男�����,江西上高人,碩士研究生����,主要研究方向為網(wǎng)絡(luò)安全.Web服務(wù)(huangkangyu_1ove@126?com);賀正求(1980唱)��,岔男�,博士研究生,主要研究方向為Wcb服務(wù)��、網(wǎng)絡(luò)安全:栽海光(1975唱)����,男,講師���,博士���,主要研究方向為網(wǎng)絡(luò)安全;吳禮發(fā)(1968唱)��,男�,教授,博士��,主耍研究方向為網(wǎng)絡(luò)安全.doi:10?3969/.issn.1001吧695?2010?0HUANGKangGu,HEZh
