Fabio F. de L. Pereira, Douglas Rodrigues, Kalinka R. L. J. C. Branco
1.Objetivos grande relevância, principalmente com a
popularidade dos sistemas Web-based. Foram Web Service é a arquitetura orientada a serviço levantados nesse sentido os principais ataques mais utilizado no momento, por proporcionar a esse tipo de sistemas, classificados e uma característica fundamental, a capacidade agrupados segundo características inerentes de um sistema se comunicar de forma clara aos ataques. Os ataques foram agrupados e as com outro sistema. Estudos mostram que um contramedidas apresentadas. Como atividade grande número de serviços web são criados em desenvolvimento destaca-se a utilização com o uso incorreto de padrões de segurança e das ferramentas para apresentação dos protocolos. ataques e das contramedidas utilizadas. As O objetivo desse projeto consiste em efetuar principais vulnerabilidades: podem ser um estudo no intuito de analisar as classificadas como: Ataques de negação de vulnerabilidades, listando os principais tipos de serviço (Oversize Payload, Coercive Parsing, ataques e classificando-os de acordo com a Oversize Cryptography, Attack Obfuscation, frequência de uso, para assim criar uma Unvalidated Redirects and Forwards); Ataques ferramenta de detecção de ataques. de Força Bruta (Insecure Cryptographic Storage, Broken Authentication and Session 2.Métodos/Procedimentos Management); Spoofing Attacks (SOAPAction, WSDL Scanning, Insufficient Transport Layer Foi feito um levantamento bibliográfico e uma Protection, WS-Spoofing, Workflow Engine revisão sistemática objetivando o levantamento Hijacking, Metadata Spoofing, Security dos ataques mais freqüentes aos serviços web. misconfiguration); Flooding and Injection Com objetivo de analisar os ataques mais Attacks (Instantiation Flood, Indirect Flooding, freqüentes serão utilizadas duas ferramentas: BPEL State Deviation, XML Injection, SQL WebScarab – uma ferramenta escrita em Java, Injection, Cross site Scripting (XSS), Cross Site para ser utilizada em testes de segurança de Request Forgery). web services cuja principal funcionalidade é atuar como proxy entre o navegador e o 4.Conclusões servidor web. Essa característica permite interceptar requisições e respostas de modo a Usando os atuais especificações de segurança alterá-las; e WebGoat – uma aplicação web para Web Service indevidamente pode-se insegura criada com o propósito de ensinar degradar mais o sistema SOA, em questão de conceitos de segurança web e invasão. segurança e desempenho. Para tratar as vulnerabilidades de Web Service, é necessário 3.Resultados combinar técnicas que estão estabelecidas em protocolos de rede e de aplicação, e também Existem muitos tipos de ataques à segurança especificar mecanismos como WS Security, em Tecnologia da Informação (TI) área. Em XML Encryption entre outros. aplicações SOA, pode-se encontrar os mesmos tipos de ataque encontrado na área de TI, no Referências Bibliográficas entanto, existem alguns ataques específicos que exploram vulnerabilidades nos protocolos. [Jensen et at, 2007] M. Jensen, N. Gruska, R. A maioria dos trabalhos em detecção de Herkenhoner, N. Luttenberger, "SOA and Web intrusão aborda os aspectos de segurança dos Services: New Technologies, New Standards- serviços na camada de rede, uma vez que a New Attacks". Christian-Albrechts-University of integridade desta camada é vital para a Keil, Germany 2007. continuidade das operações. No entanto, os ataques no nível do aplicativo estão ganhando