15
דצמ
09

סוגי מתקפות Web Services ומנגנון הגנה

פירטתי בפוסט קודם סיכונים הנובעים משימוש בשירותים – Web Services. בפוסט הזה אנסה לחלק את הסיכונים לשניים ולהציג דרך להתמודד עם סיכונים אלה.

למעשה, שימוש ב – WS מתאפשר ע"י שליחת קובץ XML לשרת. השרת המקבל את הקובץ מקלף ממנו את התגיות השונות – פעולת Parsing – ועל סמך התגיות מבצע פעולות שונות בהתאם לתוכן שבין התגיות. אופן העבודה דומה מאוד לזה של HTML.

בחלוקה גסה, ניתן לחלק את הסיכונים למתקפות לפני ה – Parser ואחרי. מתקפות אחרי הפרסר הן קלות לניחוש. למשל, גניבת מידע ע"י מתקפת SQL Injection. נגד מתקפות כאלה לא מסובך מידי להתמודד. כל אותן המלצות מוכרות מעולם ה – Application Security תופסות גם כאן. קרי, בדיקות קלטים קפדניות (סוג משתנה, טווח ערכים וכדומה), אימות מבקש השירות וכדומה.

הבעיה העיקרית בשימוש ב – WS נובעת מניצול מתקפות לפני ביצוע Parsing. למעשה, בשלב הזה השרת קלט את הקבצים אך טרם יכול לבדוק אותם. מתקפות אלה מכוונות בעיקר ל – DoS. קרי, לפגוע בשירות ע"י הפלת השרת. למשל ע"י סוגי המתקפות הבאים: XML bomb, Buffer Overflow. אני לא מכיר מספרים מדויקים, אבל נהוג לחשוב כרגע שרוב המתקפות בתחום השירותים מכוונות ל – DoS. זה יכול להוביל להפלת שרת ואפילו אתר Web.

כיצד ניתן להתמודד עם מתקפות מסוג זה? הפתרון דומה לפתרונות בשכבות אחרות כגון שכבת האפליקציה או הרשת – Firewall. במקרה זה מדובר ב – XML FW שיודע להתמודד גם עם מתקפות לפני הפרסר. למשל, הגבלת מספר קריאות לשירות שניתן לפתוח מכתובת מסוימת, גודל קובץ XML מקסימלי ועוד.

בעתיד אפרט יותר לגבי יכולות XML FW.

מודעות פרסומת

2 Responses to “סוגי מתקפות Web Services ומנגנון הגנה”


  1. 20/12/2009 ב- 22:19

    שלום,
    אהבתי מאד את הבלוג ואני עוקב בקביעות
    אתה מוזמן להיכנס לבלוג שלי להתרשם

    http://sec-see.blogspot.com


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


דצמבר 2009
א ב ג ד ה ו ש
« נוב   ינו »
 12345
6789101112
13141516171819
20212223242526
2728293031  

%d בלוגרים אהבו את זה: