web 服务攻击技术研究综述倡
上传者:何晓萍|上传时间:2015-04-24|密次下载
web 服务攻击技术研究综述倡
收稿日期: 2009唱04唱27; 修回日期: 2009唱05唱28 基金项目: 国防预研基金资助项目(51406020105JB8103)
作者简介:黄康宇(1985唱),男,江西上高人,硕士研究生,主要研究方向为网络安全、Web 服务(huangkangyu_love@126.com);贺正求(1980唱),
男,博士研究生,主要研究方向为 Web 服务、网络安全;赖海光(1975唱),男,讲师,博士,主要研究方向为网络安全;吴礼发(1968唱),男,教授,博士,
主要研究方向为网络安全.
Web 服务攻击技术研究综述
倡
黄康宇
a
, 贺正求
a
, 赖海光
b
, 吴礼发
b
(解放军理工大学 指挥自动化学院 a.研究生管理大队; b.计算机系, 南京 210007)
摘 要: Web 服务在给基于异构平台的应用集成带来极大便利的同时,其自身各核心组件也面临着恶意攻击的
威胁。 详细分析了针对单个 Web 服务以及 Web 服务组合过程的各种常见攻击技术的原理、特点,探讨了相应的
检测和防御措施,结合已有研究成果,讨论了 Web 服务攻击防护将来的研究方向以及面临的挑战。
关键词: Web 服务; 安全; 攻击; 防御
中图分类号: TP303畅08 文献标志码: A 文章编号: 1001唱3695(2010)01唱0017唱06
doi:10.3969 /j.issn.1001唱3695.2010.01.005
Research of attack technologies for Web service
HUANG Kang唱yu
a
, HE Zheng唱qiu
a
, LAI Hai唱guang
b
, WU Li唱fa
b
(a.Postgraduate Team, b.Dept.of Computer, School of Command Automation, PLA University of Science & Technology, Nanjing 210007,
China)
Abstract: Web service greatly facilitates the application唱to唱application integration based on heterogeneous platform, but its
core components are faced with threats of malicious attacks.This paper detailedly analyzed the principles and characteristics of
various familiar attacks on single Web service and Web service composition, and pointed out the corresponding detection and
prevention countermeasures.On the basis of current research achievements, also presented a discussion on the future research
directions and the challenges of Web service defenses against attacks.
Key words: Web service; security; attack; defense
0 引言
Web 服务是一个软件系统,用来支持网络上机器到机器间
的互操作
[1]
。 它建立在一组通用的标准协议之上,有一个清晰
的、机器可处理的标准描述格式。 其他系统使用该描述中指定
的方式与Web 服务进行交互,并使用SOAP 消息格式进行通信。
Web 服务具有开放性、平台无关性、松散耦合和高度可集成等特
征,已经成为面向服务体系结构(service唱oriented architecture,
SOA)的主要实现方式。 越来越多的组织开始在私有的局域网
或虚拟专用网上配置Web 服务,实施企业应用集成。 然而许多
组织依旧不愿意将Web 服务配置在公开的广域网上,主要原因
之一就是Web 服务面临着很多安全问题。 当前,相关标准组织
提出了一系列的规范,用于增强Web 服务的安全性,如WS唱Se唱
curity
[2]
、 WS唱Trust
[3]
、 WS唱Secure Conversation
[4]
和 WS唱Secure
Policy
[5]
等,但是这些标准并不能完全解决Web 服务的安全问
题。 Web 服务的核心支撑技术如XML、SOAP、WSDL
[6]
、UDDI
[7]
都存在不少固有的安全脆弱点,成为攻击者实施攻击的目标。
为此,本文就单个 Web 服务和Web 服务组合中常见的攻击方
式,以及相应检测和防御方法进行介绍。
1 Web 服务常见攻击
Demchenko
[8]
在漏洞—事件生命周期模型中指出,攻击者
实施攻击的方法包含以下几个基本步骤:调查和评估;利用和
渗透;逐步提升权限;维持访问或拒绝服务;未授权使用资源;
清除或伪造活动轨迹。 从这些步骤中可以得知攻击者是怎样
利用Web 服务实现协议上的漏洞,进行准备和实施攻击的。
1畅1 Web 服务探测攻击
探测攻击的目的是收集Web 服务相关信息,是向Web 服
务实施攻击的第一步。 这一步至关重要,攻击者能从中找到潜
在的漏洞和攻击入口。 攻击者可以使用WSDL 扫描或利用差
错信息等方式进行Web 服务探测攻击。
1)WSDL 扫描
WSDL 文件是 Web 服务配置信息的描述文件,描述了
Web 服务的名称和位置、Web 服务的方法和参数,以及Web 服
务的输入和输出等。 这些信息可被攻击者用来寻找漏洞和攻
击通道;同时,攻击者也可以基于这些已有信息去推测Web 服
务其他没有公开的接口。
WSDL 文件可以轻松获取。 UDDI ( universal description,
discovery and integration)服务器提供了一个集中的WSDL 文件
资源库,攻击者可以利用 UDDI 来了解和定位 Web 服务。 另
外,攻击者可以通过搜索引擎找到 WSDL 文件,例如使
用 file唱
type:wsdl 条件进行查询
[9]
。 为了防止WSDL 文件被攻击者利
用,可以在UDDI 中引入访问控制机制如UDDI v3.0.2
[7]
,或者
阻止搜索引擎索引WSDL 文件,同时也应确保WSDL 不包括不
第27 卷第1 期
2010 年1 月
计 算 机 应 用 研 究
Application Research of Computers
Vol.27 No.1
Jan.2010
下载文档
热门试卷
- 2016年四川省内江市中考化学试卷
- 广西钦州市高新区2017届高三11月月考政治试卷
- 浙江省湖州市2016-2017学年高一上学期期中考试政治试卷
- 浙江省湖州市2016-2017学年高二上学期期中考试政治试卷
- 辽宁省铁岭市协作体2017届高三上学期第三次联考政治试卷
- 广西钦州市钦州港区2016-2017学年高二11月月考政治试卷
- 广西钦州市钦州港区2017届高三11月月考政治试卷
- 广西钦州市钦州港区2016-2017学年高一11月月考政治试卷
- 广西钦州市高新区2016-2017学年高二11月月考政治试卷
- 广西钦州市高新区2016-2017学年高一11月月考政治试卷
- 山东省滨州市三校2017届第一学期阶段测试初三英语试题
- 四川省成都七中2017届高三一诊模拟考试文科综合试卷
- 2017届普通高等学校招生全国统一考试模拟试题(附答案)
- 重庆市永川中学高2017级上期12月月考语文试题
- 江西宜春三中2017届高三第一学期第二次月考文科综合试题
- 内蒙古赤峰二中2017届高三上学期第三次月考英语试题
- 2017年六年级(上)数学期末考试卷
- 2017人教版小学英语三年级上期末笔试题
- 江苏省常州西藏民族中学2016-2017学年九年级思想品德第一学期第二次阶段测试试卷
- 重庆市九龙坡区七校2016-2017学年上期八年级素质测查(二)语文学科试题卷
- 江苏省无锡市钱桥中学2016年12月八年级语文阶段性测试卷
- 江苏省无锡市钱桥中学2016-2017学年七年级英语12月阶段检测试卷
- 山东省邹城市第八中学2016-2017学年八年级12月物理第4章试题(无答案)
- 【人教版】河北省2015-2016学年度九年级上期末语文试题卷(附答案)
- 四川省简阳市阳安中学2016年12月高二月考英语试卷
- 四川省成都龙泉中学高三上学期2016年12月月考试题文科综合能力测试
- 安徽省滁州中学2016—2017学年度第一学期12月月考高三英语试卷
- 山东省武城县第二中学2016.12高一年级上学期第二次月考历史试题(必修一第四、五单元)
- 福建省四地六校联考2016-2017学年上学期第三次月考高三化学试卷
- 甘肃省武威第二十三中学2016—2017学年度八年级第一学期12月月考生物试卷
网友关注
- 嵌入式智能网络采集站开发及应用研究
- 第一章 嵌入式系统开发基础
- 基于Web的嵌入式视频监控设备的管理系统的开发论文
- 并行处理技术课程设计
- .正式支持Windows 7 催化剂9
- 使用新的Windows Server 01 R SMB PowerShell 命令
- 嵌入式平台开发及在GPS中的应用——驱动开发及GPS应用论文
- 嵌入式网络摄像机终端用户软件系统的研究与实现
- 中软嵌入式开发工程师就业班
- HP 3PAR Windows 2008 实施指南
- 嵌入式系统人机交互界面开发平台研究
- 基于arm9的嵌入式网络驱动程序开发
- 基于云计算平台的高校精品课程资源共享系统 刘教民
- 第九章 嵌入式Linux驱动程序开发
- 【优秀毕业论文】基于linux的嵌入式pda开发平台的设计与实现
- 【优秀毕业论文】随机指令测试在高性能嵌入式处理器开发中的应用
- Windows Vista 的服務
- 基于云计算的物联网关键技术研究
- 2012-2013年(第五届)中国嵌入式开发从业人员大调查
- Windows Server 2003安全管理
- 使用Windows虚拟设备驱动程序(VxD)
- 嵌入式软件开发
- 虚拟化与云计算培训
- 什么是 Windows Sockets 規範
- [最新]windows_storage_server_2008
- 基于MPC823处理器的嵌入式Linux操作系统移植
- 低功耗嵌入式处理器设计研究(可编辑)
- 基于嵌入式arm9平台远程视频监控系统的设计与实现
- “云”计算的现实应用
- 云计算系统相空间广义热力学参数定义及分析
网友关注视频
- 外研版英语三起6年级下册(14版)Module3 Unit1
- 8.练习八_第一课时(特等奖)(苏教版三年级上册)_T142692
- 8 随形想象_第一课时(二等奖)(沪教版二年级上册)_T3786594
- 沪教版牛津小学英语(深圳用) 五年级下册 Unit 10
- 冀教版英语四年级下册第二课
- 北师大版小学数学四年级下册第15课小数乘小数一
- 沪教版八年级下册数学练习册20.4(2)一次函数的应用2P8
- 沪教版牛津小学英语(深圳用) 四年级下册 Unit 4
- 【部编】人教版语文七年级下册《泊秦淮》优质课教学视频+PPT课件+教案,广东省
- 外研版英语三起6年级下册(14版)Module3 Unit2
- 冀教版小学数学二年级下册1
- 沪教版八年级下册数学练习册一次函数复习题B组(P11)
- 8.对剪花样_第一课时(二等奖)(冀美版二年级上册)_T515402
- 19 爱护鸟类_第一课时(二等奖)(桂美版二年级下册)_T502436
- 【部编】人教版语文七年级下册《逢入京使》优质课教学视频+PPT课件+教案,辽宁省
- 飞翔英语—冀教版(三起)英语三年级下册Lesson 2 Cats and Dogs
- 《小学数学二年级下册》第二单元测试题讲解
- 化学九年级下册全册同步 人教版 第25集 生活中常见的盐(二)
- 第五单元 民族艺术的瑰宝_15. 多姿多彩的民族服饰_第二课时(市一等奖)(岭南版六年级上册)_T129830
- 沪教版牛津小学英语(深圳用) 四年级下册 Unit 3
- 沪教版牛津小学英语(深圳用) 五年级下册 Unit 7
- 外研版英语七年级下册module3 unit1第二课时
- 沪教版八年级下册数学练习册21.3(3)分式方程P17
- 人教版二年级下册数学
- 【部编】人教版语文七年级下册《逢入京使》优质课教学视频+PPT课件+教案,安徽省
- 外研版英语七年级下册module3 unit2第一课时
- 河南省名校课堂七年级下册英语第一课(2020年2月10日)
- 二次函数求实际问题中的最值_第一课时(特等奖)(冀教版九年级下册)_T144339
- 第五单元 民族艺术的瑰宝_16. 形形色色的民族乐器_第一课时(岭南版六年级上册)_T3751175
- 【部编】人教版语文七年级下册《过松源晨炊漆公店(其五)》优质课教学视频+PPT课件+教案,辽宁省
精品推荐
- 2016-2017学年高一语文人教版必修一+模块学业水平检测试题(含答案)
- 广西钦州市高新区2017届高三11月月考政治试卷
- 浙江省湖州市2016-2017学年高一上学期期中考试政治试卷
- 浙江省湖州市2016-2017学年高二上学期期中考试政治试卷
- 辽宁省铁岭市协作体2017届高三上学期第三次联考政治试卷
- 广西钦州市钦州港区2016-2017学年高二11月月考政治试卷
- 广西钦州市钦州港区2017届高三11月月考政治试卷
- 广西钦州市钦州港区2016-2017学年高一11月月考政治试卷
- 广西钦州市高新区2016-2017学年高二11月月考政治试卷
- 广西钦州市高新区2016-2017学年高一11月月考政治试卷
分类导航
- 互联网
- 电脑基础知识
- 计算机软件及应用
- 计算机硬件及网络
- 计算机应用/办公自动化
- .NET
- 数据结构与算法
- Java
- SEO
- C/C++资料
- linux/Unix相关
- 手机开发
- UML理论/建模
- 并行计算/云计算
- 嵌入式开发
- windows相关
- 软件工程
- 管理信息系统
- 开发文档
- 图形图像
- 网络与通信
- 网络信息安全
- 电子支付
- Labview
- matlab
- 网络资源
- Python
- Delphi/Perl
- 评测
- Flash/Flex
- CSS/Script
- 计算机原理
- PHP资料
- 数据挖掘与模式识别
- Web服务
- 数据库
- Visual Basic
- 电子商务
- 服务器
- 搜索引擎优化
- 存储
- 架构
- 行业软件
- 人工智能
- 计算机辅助设计
- 多媒体
- 软件测试
- 计算机硬件与维护
- 网站策划/UE
- 网页设计/UI
- 网吧管理