15
דצמ
09

סוגי מתקפות Web Services ומנגנון הגנה

פירטתי בפוסט קודם סיכונים הנובעים משימוש בשירותים – Web Services. בפוסט הזה אנסה לחלק את הסיכונים לשניים ולהציג דרך להתמודד עם סיכונים אלה.

למעשה, שימוש ב – WS מתאפשר ע"י שליחת קובץ XML לשרת. השרת המקבל את הקובץ מקלף ממנו את התגיות השונות – פעולת Parsing – ועל סמך התגיות מבצע פעולות שונות בהתאם לתוכן שבין התגיות. אופן העבודה דומה מאוד לזה של HTML.

בחלוקה גסה, ניתן לחלק את הסיכונים למתקפות לפני ה – Parser ואחרי. מתקפות אחרי הפרסר הן קלות לניחוש. למשל, גניבת מידע ע"י מתקפת SQL Injection. נגד מתקפות כאלה לא מסובך מידי להתמודד. כל אותן המלצות מוכרות מעולם ה – Application Security תופסות גם כאן. קרי, בדיקות קלטים קפדניות (סוג משתנה, טווח ערכים וכדומה), אימות מבקש השירות וכדומה.

הבעיה העיקרית בשימוש ב – WS נובעת מניצול מתקפות לפני ביצוע Parsing. למעשה, בשלב הזה השרת קלט את הקבצים אך טרם יכול לבדוק אותם. מתקפות אלה מכוונות בעיקר ל – DoS. קרי, לפגוע בשירות ע"י הפלת השרת. למשל ע"י סוגי המתקפות הבאים: XML bomb, Buffer Overflow. אני לא מכיר מספרים מדויקים, אבל נהוג לחשוב כרגע שרוב המתקפות בתחום השירותים מכוונות ל – DoS. זה יכול להוביל להפלת שרת ואפילו אתר Web.

כיצד ניתן להתמודד עם מתקפות מסוג זה? הפתרון דומה לפתרונות בשכבות אחרות כגון שכבת האפליקציה או הרשת – Firewall. במקרה זה מדובר ב – XML FW שיודע להתמודד גם עם מתקפות לפני הפרסר. למשל, הגבלת מספר קריאות לשירות שניתן לפתוח מכתובת מסוימת, גודל קובץ XML מקסימלי ועוד.

בעתיד אפרט יותר לגבי יכולות XML FW.


2 Responses to “סוגי מתקפות Web Services ומנגנון הגנה”


  1. 20/12/2009 ב- 22:19

    שלום,
    אהבתי מאד את הבלוג ואני עוקב בקביעות
    אתה מוזמן להיכנס לבלוג שלי להתרשם

    http://sec-see.blogspot.com


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת /  לשנות )

תמונת גוגל

אתה מגיב באמצעות חשבון Google שלך. לצאת מהמערכת /  לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת /  לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת /  לשנות )

מתחבר ל-%s


דצמבר 2009
א ב ג ד ה ו ש
« נוב   ינו »
 12345
6789101112
13141516171819
20212223242526
2728293031  

הרשומות הנצפות ביותר


%d בלוגרים אהבו את זה: