web 服务攻击技术研究综述倡

　　收稿日期： ２００９唱０４唱２７； 修回日期： ２００９唱０５唱２８　　基金项目： 国防预研基金资助项目（５１４０６０２０１０５ＪＢ８１０３）
　　作者简介：黄康宇（１９８５唱），男，江西上高人，硕士研究生，主要研究方向为网络安全、Ｗｅｂ 服务（ｈｕａｎｇｋａｎｇｙｕ＿ｌｏｖｅ＠１２６．ｃｏｍ）；贺正求（１９８０唱），
男，博士研究生，主要研究方向为 Ｗｅｂ 服务、网络安全；赖海光（１９７５唱），男，讲师，博士，主要研究方向为网络安全；吴礼发（１９６８唱），男，教授，博士，
主要研究方向为网络安全．
Ｗｅｂ 服务攻击技术研究综述
倡
黄康宇
ａ
， 贺正求
ａ
， 赖海光
ｂ
， 吴礼发
ｂ
（解放军理工大学 指挥自动化学院 ａ．研究生管理大队； ｂ．计算机系， 南京 ２１０００７）
摘　要： Ｗｅｂ 服务在给基于异构平台的应用集成带来极大便利的同时，其自身各核心组件也面临着恶意攻击的
威胁。 详细分析了针对单个 Ｗｅｂ 服务以及 Ｗｅｂ 服务组合过程的各种常见攻击技术的原理、特点，探讨了相应的
检测和防御措施，结合已有研究成果，讨论了 Ｗｅｂ 服务攻击防护将来的研究方向以及面临的挑战。
关键词： Ｗｅｂ 服务； 安全； 攻击； 防御
中图分类号： ＴＰ３０３畅０８　　　文献标志码： Ａ　　　文章编号： １００１唱３６９５（２０１０）０１唱００１７唱０６
ｄｏｉ：１０．３９６９ ／ｊ．ｉｓｓｎ．１００１唱３６９５．２０１０．０１．００５
Ｒｅｓｅａｒｃｈ ｏｆ ａｔｔａｃｋ ｔｅｃｈｎｏｌｏｇｉｅｓ ｆｏｒ Ｗｅｂ ｓｅｒｖｉｃｅ
ＨＵＡＮＧ Ｋａｎｇ唱ｙｕ
ａ
， ＨＥ Ｚｈｅｎｇ唱ｑｉｕ
ａ
， ＬＡＩ Ｈａｉ唱ｇｕａｎｇ
ｂ
， ＷＵ Ｌｉ唱ｆａ
ｂ
（ａ．Ｐｏｓｔｇｒａｄｕａｔｅ Ｔｅａｍ， ｂ．Ｄｅｐｔ．ｏｆ Ｃｏｍｐｕｔｅｒ， Ｓｃｈｏｏｌ ｏｆ Ｃｏｍｍａｎｄ Ａｕｔｏｍａｔｉｏｎ， ＰＬＡ Ｕｎｉｖｅｒｓｉｔｙ ｏｆ Ｓｃｉｅｎｃｅ ＆ Ｔｅｃｈｎｏｌｏｇｙ， Ｎａｎｊｉｎｇ ２１０００７，
Ｃｈｉｎａ）
Ａｂｓｔｒａｃｔ： Ｗｅｂ ｓｅｒｖｉｃｅ ｇｒｅａｔｌｙ ｆａｃｉｌｉｔａｔｅｓ ｔｈｅ ａｐｐｌｉｃａｔｉｏｎ唱ｔｏ唱ａｐｐｌｉｃａｔｉｏｎ ｉｎｔｅｇｒａｔｉｏｎ ｂａｓｅｄ ｏｎ ｈｅｔｅｒｏｇｅｎｅｏｕｓ ｐｌａｔｆｏｒｍ， ｂｕｔ ｉｔｓ
ｃｏｒｅ ｃｏｍｐｏｎｅｎｔｓ ａｒｅ ｆａｃｅｄ ｗｉｔｈ ｔｈｒｅａｔｓ ｏｆ ｍａｌｉｃｉｏｕｓ ａｔｔａｃｋｓ．Ｔｈｉｓ ｐａｐｅｒ ｄｅｔａｉｌｅｄｌｙ ａｎａｌｙｚｅｄ ｔｈｅ ｐｒｉｎｃｉｐｌｅｓ ａｎｄ ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ ｏｆ
ｖａｒｉｏｕｓ ｆａｍｉｌｉａｒ ａｔｔａｃｋｓ ｏｎ ｓｉｎｇｌｅ Ｗｅｂ ｓｅｒｖｉｃｅ ａｎｄ Ｗｅｂ ｓｅｒｖｉｃｅ ｃｏｍｐｏｓｉｔｉｏｎ， ａｎｄ ｐｏｉｎｔｅｄ ｏｕｔ ｔｈｅ ｃｏｒｒｅｓｐｏｎｄｉｎｇ ｄｅｔｅｃｔｉｏｎ ａｎｄ
ｐｒｅｖｅｎｔｉｏｎ ｃｏｕｎｔｅｒｍｅａｓｕｒｅｓ．Ｏｎ ｔｈｅ ｂａｓｉｓ ｏｆ ｃｕｒｒｅｎｔ ｒｅｓｅａｒｃｈ ａｃｈｉｅｖｅｍｅｎｔｓ， ａｌｓｏ ｐｒｅｓｅｎｔｅｄ ａ ｄｉｓｃｕｓｓｉｏｎ ｏｎ ｔｈｅ ｆｕｔｕｒｅ ｒｅｓｅａｒｃｈ
ｄｉｒｅｃｔｉｏｎｓ ａｎｄ ｔｈｅ ｃｈａｌｌｅｎｇｅｓ ｏｆ Ｗｅｂ ｓｅｒｖｉｃｅ ｄｅｆｅｎｓｅｓ ａｇａｉｎｓｔ ａｔｔａｃｋｓ．
Ｋｅｙ ｗｏｒｄｓ： Ｗｅｂ ｓｅｒｖｉｃｅ； ｓｅｃｕｒｉｔｙ； ａｔｔａｃｋ； ｄｅｆｅｎｓｅ
０　引言
Ｗｅｂ 服务是一个软件系统，用来支持网络上机器到机器间
的互操作
［１］
。 它建立在一组通用的标准协议之上，有一个清晰
的、机器可处理的标准描述格式。 其他系统使用该描述中指定
的方式与Ｗｅｂ 服务进行交互，并使用ＳＯＡＰ 消息格式进行通信。
Ｗｅｂ 服务具有开放性、平台无关性、松散耦合和高度可集成等特
征，已经成为面向服务体系结构（ｓｅｒｖｉｃｅ唱ｏｒｉｅｎｔｅｄ ａｒｃｈｉｔｅｃｔｕｒｅ，
ＳＯＡ）的主要实现方式。 越来越多的组织开始在私有的局域网
或虚拟专用网上配置Ｗｅｂ 服务，实施企业应用集成。 然而许多
组织依旧不愿意将Ｗｅｂ 服务配置在公开的广域网上，主要原因
之一就是Ｗｅｂ 服务面临着很多安全问题。 当前，相关标准组织
提出了一系列的规范，用于增强Ｗｅｂ 服务的安全性，如ＷＳ唱Ｓｅ唱
ｃｕｒｉｔｙ
［２］
、 ＷＳ唱Ｔｒｕｓｔ
［３］
、 ＷＳ唱Ｓｅｃｕｒｅ Ｃｏｎｖｅｒｓａｔｉｏｎ
［４］
和 ＷＳ唱Ｓｅｃｕｒｅ
Ｐｏｌｉｃｙ
［５］
等，但是这些标准并不能完全解决Ｗｅｂ 服务的安全问
题。 Ｗｅｂ 服务的核心支撑技术如ＸＭＬ、ＳＯＡＰ、ＷＳＤＬ
［６］
、ＵＤＤＩ
［７］
都存在不少固有的安全脆弱点，成为攻击者实施攻击的目标。
为此，本文就单个 Ｗｅｂ 服务和Ｗｅｂ 服务组合中常见的攻击方
式，以及相应检测和防御方法进行介绍。
１　Ｗｅｂ 服务常见攻击
Ｄｅｍｃｈｅｎｋｏ
［８］
在漏洞—事件生命周期模型中指出，攻击者
实施攻击的方法包含以下几个基本步骤：调查和评估；利用和
渗透；逐步提升权限；维持访问或拒绝服务；未授权使用资源；
清除或伪造活动轨迹。 从这些步骤中可以得知攻击者是怎样
利用Ｗｅｂ 服务实现协议上的漏洞，进行准备和实施攻击的。
１畅１　Ｗｅｂ 服务探测攻击
探测攻击的目的是收集Ｗｅｂ 服务相关信息，是向Ｗｅｂ 服
务实施攻击的第一步。 这一步至关重要，攻击者能从中找到潜
在的漏洞和攻击入口。 攻击者可以使用ＷＳＤＬ 扫描或利用差
错信息等方式进行Ｗｅｂ 服务探测攻击。
１）ＷＳＤＬ 扫描
ＷＳＤＬ 文件是 Ｗｅｂ 服务配置信息的描述文件，描述了
Ｗｅｂ 服务的名称和位置、Ｗｅｂ 服务的方法和参数，以及Ｗｅｂ 服
务的输入和输出等。 这些信息可被攻击者用来寻找漏洞和攻
击通道；同时，攻击者也可以基于这些已有信息去推测Ｗｅｂ 服
务其他没有公开的接口。
ＷＳＤＬ 文件可以轻松获取。 ＵＤＤＩ （ ｕｎｉｖｅｒｓａｌ ｄｅｓｃｒｉｐｔｉｏｎ，
ｄｉｓｃｏｖｅｒｙ ａｎｄ ｉｎｔｅｇｒａｔｉｏｎ）服务器提供了一个集中的ＷＳＤＬ 文件
资源库，攻击者可以利用 ＵＤＤＩ 来了解和定位 Ｗｅｂ 服务。 另
外，攻击者可以通过搜索引擎找到 ＷＳＤＬ 文件，例如使 用 ｆｉｌｅ唱
ｔｙｐｅ：ｗｓｄｌ 条件进行查询
［９］
。 为了防止ＷＳＤＬ 文件被攻击者利
用，可以在ＵＤＤＩ 中引入访问控制机制如ＵＤＤＩ ｖ３．０．２
［７］
，或者
阻止搜索引擎索引ＷＳＤＬ 文件，同时也应确保ＷＳＤＬ 不包括不
第２７ 卷第１ 期
２０１０ 年１ 月　
计 算 机 应 用 研 究
Ａｐｐｌｉｃａｔｉｏｎ Ｒｅｓｅａｒｃｈ ｏｆ Ｃｏｍｐｕｔｅｒｓ
Ｖｏｌ．２７ Ｎｏ．１
Ｊａｎ．２０１０