面向服务体系(SOA)从根本上改变了应用程序工作的方式,这种构架体系在发展的同时,也被迫经历了一个在安全性方面快速的发展过程,因为谁也不愿意这种新的体系架构在被应用的同时,又带来新的麻烦和混乱。
就在这个星期,与安全相关的技术和产品似乎如潮水般一夜之间涌现了出来,冲入了市场。从Web服务安全设备到嵌入业务处理链的安全技术,再到测试新安全漏洞(如XPath注入漏洞)的方法,等等。
这些安全技术所涵盖的不同种类从侧面强调了Web服务安全问题领域过大的问题:大范围的分布式应用程序需要大范围的安全技术保障。
来自Zap Think的分析家Jason Bloomberg指出,“基于屏障式的安全模型现在已经完全过时了,你需要使用另一些技术来保证信息的安全。我们必须考虑内容级别的安全性。”
传统的应用程序安全保护措施工作在网络级别,例如传统的防火墙技术。相比之下,传输层上没有任何的内容检测技术,所以也就无法识别包含在Web服务数据包或元数据信息中的木马程序。
SOA软件公司在内容检测方面进行了一些尝试,他们使用类似数据采集代理的方式截获来自外界的服务包,对这些数据的来源进行验证,反加密这些数据包,最后使用自己独有的公钥体系来标识经过验证的信息,以达到安全性的要求。
面向服务体系(SOA)从根本上改变了应用程序工作的方式,这种构架体系在发展的同时,也被迫经历了一个在安全性方面快速的发展过程,因为谁也不愿意这种新的体系架构在被应用的同时,又带来新的麻烦和混乱。
就在这个星期,与安全相关的技术和产品似乎如潮水般一夜之间涌现了出来,冲入了市场。从Web服务安全设备到嵌入业务处理链的安全技术,再到测试新安全漏洞(如XPath注入漏洞)的方法,等等。
这些安全技术所涵盖的不同种类从侧面强调了Web服务安全问题领域过大的问题:大范围的分布式应用程序需要大范围的安全技术保障。
来自Zap Think的分析家Jason Bloomberg指出,“基于屏障式的安全模型现在已经完全过时了,你需要使用另一些技术来保证信息的安全。我们必须考虑内容级别的安全性。”
传统的应用程序安全保护措施工作在网络级别,例如传统的防火墙技术。相比之下,传输层上没有任何的内容检测技术,所以也就无法识别包含在Web服务数据包或元数据信息中的木马程序。
SOA软件公司在内容检测方面进行了一些尝试,他们使用类似数据采集代理的方式截获来自外界的服务包,对这些数据的来源进行验证,反加密这些数据包,最后使用自己独有的公钥体系来标识经过验证的信息,以达到安全性的要求。
尽管这样,来自McAfee公司Foundstone Professional Services部门的高级咨询顾问Mark Curphey却认为Web服务标准在解决安全的同时,也会产生很多其他的问题。他说:“我们提出了将Web服务载体进行封装的标准,但是这样就给了攻击者一定的机会,因为攻击性的数据也能够成为这样的标准。”
为了解决这个问题,Santa Clara发布了一个叫做WSDigger的免费工具,用来检测在Web服务数据包中的安全漏洞。该工具已经内置了一些用以测试漏洞的工具插件,包括SQL注入式攻击漏洞、交叉站点脚本和XPath注入攻击插件等。
这种插件体系允许用户进行穿透式的测试,用户无需知道目标服务的在代码级别的信息,就可以使用这些插件模仿来自外部的攻击者,对目标服务进行测试。
Curphey说:“这个工具能够自动搜索你提供的所有服务,你只需要拖拽一种攻击方式到某个服务上,就可以对它进行攻击测试了,然后接下来你就能够发现在该服务中存在哪些漏洞。”
Curphey还强调:“安全规范并不能处理所有和安全性相关的问题。”
Bloomberg也同意这一点,他说:“涵盖了一个安全相关的部分问题并不表示你就真正安全了。对于安全性来说,最大的挑战在于你是否能把所有的问题都考虑周全。”