设计差异引发 Web Services 安全性问题

随着Web Services应用的发展，厂商们试图得出一套成型的方法来保证应用层信息安全。“厂商们已经开发了一整套标准来保护Web Services事务处理的安全”，Forrester研究中心的Randy Heffner说道。

最近，对Web Services的关注程度仍在提高，而事实上对Web Services的关注也有其理由，这种创建应用的新方法允许组织或者企业使用其内部系统与合作伙伴或者客户交换信息，给企业应用带来了很大的方便。

随着Web Services的潜在价值被越来越多的人意识到，这项应用也给许多公司带来了新的安全问题。“Web Services在传统的安全技术身上穿了洞”，Zap Think公司的高级分析师Jason Bloomberg形象地说道。

这些漏洞源于Web Services应用与传统应用在设计上的差异。传统应用在创建时即保证其运行时是“线性”的，即信息是按照有序的方式传播。大多数安全产品都在各种关键点上进行信息安全性检查。例如，防火墙被放置在网络边界上，保证只有被授权的用户才能进入企业网内部。Web Services出现以后，数据可以从不同的入口进入内部网络，也可以从不同的出口出去。因此，许多应用可以绕过网络上的安全信息检查。例如，HTTP协议使用80端口进行数据传输，可以绕过防火墙的安全检查（因为防火墙默认是开放80端口的）。因此，黑客可以使用这样众多的入口点，绕过安全性检查进入企业网内部，获得企业网的控制权限。

被新的攻击方式束缚

由于设计上的不同，Web Services应用带来了新的攻击类型，例如，恶意代码注入攻击，类似这种攻击很多，但是它们大都遵循一个原则：黑客把恶意代码附加在正常代码上，通过在输入域中输入，从而进入系统。

这种攻击手段在使用结构化查询语言SQL的数据库管理系统中尤其流行。另外，XML和轻量级目录访问协议LDAP（Lightweight Directory Access Protocol）在Web Services应用中被普遍使用，它们都容易进行恶意代码注入。例如，如果一个电子商务的XML应用没有验证它的信息发送目标的安全性，黑客就可能获得客户的敏感信息，诸如银行卡卡号、信用卡信息等。使用LDAP恶意代码注入，攻击者可以访问公共目录，访问客户的联系信息，诸如Email地址和个人住址等。

为了应对这样的攻击，公司不得不确保自己应用程序的安全性，而不是企业网络的安全。然而，大多数的安全工具不是这样设计的。公司往往有种错误的认识：他们使用了安全套接层协议（SSL）来加密点对点传输，就可以免受恶意代码的攻击。事实上，这并不是应对恶意代码注入攻击的有效方法。