Investigações de Ataques em Web Services
Fabio F. de L. Pereira, Douglas Rodrigues, Kalinka R. L. J. C. Branco
1.Objetivos
Web Service é a arquitetura orientada a serviço
mais utilizado no momento, por proporcionar
uma característica fundamental, a capacidade
de um sistema se comunicar de forma clara
com outro sistema. Estudos mostram que um
grande número de serviços web são criados
com o uso incorreto de padrões de segurança e
protocolos.
O objetivo desse projeto consiste em efetuar
um estudo no intuito de analisar as
vulnerabilidades, listando os principais tipos de
ataques e classificando-os de acordo com a
frequência de uso, para assim criar uma
ferramenta de detecção de ataques.
2.Métodos/Procedimentos
Foi feito um levantamento bibliográfico e uma
revisão sistemática objetivando o levantamento
dos ataques mais freqüentes aos serviços web.
Com objetivo de analisar os ataques mais
freqüentes serão utilizadas duas ferramentas:
WebScarab – uma ferramenta escrita em Java,
para ser utilizada em testes de segurança de
web services cuja principal funcionalidade é
atuar como proxy entre o navegador e o
servidor web. Essa característica permite
interceptar requisições e respostas de modo a
alterá-las; e WebGoat – uma aplicação web
insegura criada com o propósito de ensinar
conceitos de segurança web e invasão.
3.Resultados
Existem muitos tipos de ataques à segurança
em Tecnologia da Informação (TI) área. Em
aplicações SOA, pode-se encontrar os mesmos
tipos de ataque encontrado na área de TI, no
entanto, existem alguns ataques específicos
que exploram vulnerabilidades nos protocolos.
A maioria dos trabalhos em detecção de
intrusão aborda os aspectos de segurança dos
serviços na camada de rede, uma vez que a
integridade desta camada é vital para a
continuidade das operações. No entanto, os
ataques no nível do aplicativo estão ganhando
grande relevância, principalmente com a
popularidade dos sistemas Web-based. Foram
levantados nesse sentido os principais ataques
a esse tipo de sistemas, classificados e
agrupados segundo características inerentes
aos ataques. Os ataques foram agrupados e as
contramedidas apresentadas. Como atividade
em desenvolvimento destaca-se a utilização
das ferramentas para apresentação dos
ataques e das contramedidas utilizadas. As
principais vulnerabilidades: podem ser
classificadas como: Ataques de negação de
serviço (Oversize Payload, Coercive Parsing,
Oversize Cryptography, Attack Obfuscation,
Unvalidated Redirects and Forwards); Ataques
de Força Bruta (Insecure Cryptographic
Storage, Broken Authentication and Session
Management); Spoofing Attacks (SOAPAction,
WSDL Scanning, Insufficient Transport Layer
Protection, WS-Spoofing, Workflow Engine
Hijacking, Metadata Spoofing, Security
misconfiguration); Flooding and Injection
Attacks (Instantiation Flood, Indirect Flooding,
BPEL State Deviation, XML Injection, SQL
Injection, Cross site Scripting (XSS), Cross Site
Request Forgery).
4.Conclusões
Usando os atuais especificações de segurança
para Web Service indevidamente pode-se
degradar mais o sistema SOA, em questão de
segurança e desempenho. Para tratar as
vulnerabilidades de Web Service, é necessário
combinar técnicas que estão estabelecidas em
protocolos de rede e de aplicação, e também
especificar mecanismos como WS Security,
XML Encryption entre outros.
Referências Bibliográficas
[Jensen et at, 2007] M. Jensen, N. Gruska, R.
Herkenhoner, N. Luttenberger, "SOA and Web
Services: New Technologies, New Standards-
New Attacks". Christian-Albrechts-University of
Keil, Germany 2007.