“在简单应用程序采用锁死模式进行保护之后,我们看到Web 服务的保护成为与黑客战斗的新前线,”Watchfire 公司的技术总监 Michael Weider 说,该公司位于马赛诸塞州的沃尔瑟姆市。
现在这家公司正在从Web服务的概念验证阶段向大规模开发阶段迈进,“关于Web 服务的安全问题,用户的关注程度在增加,并且也提出于越来越多的问题,” Weider说。“我们将看到更多的牵涉到安全问题和Web 服务的案例。”
由于所有的安全组织都已经涉及到了网络,因此要想危及网络安全是非常困难的,Weider说,因此黑客现在盯上了Web 站点本身和Web 应用程序。一旦Web 应用程序被保护,他说“黑客们将转移到下一个领域——攻击Web 服务的弱点。”
而且,仅仅符合WS-Security标准是远远不够的,Weider说。“这只是开始。这个标准只是意味着Web 服务能够在这个标准已知的范围内受到保护,但是新的攻击完全可能在未知的范围内危及Web 服务的安全,而且[黑客]所想的用例并非我们已经想到的。因此,符合[WS-Security]这个标准也无法低档这些新的攻击。”
“由于Web 服务需要机器对机器的交互,因此,确保那些与Web 服务相关的操作是准确无误的,这一点是非常重要的,” 国际数据机构(IDC)安全产品服务的研究主管Charles Kolodgy说,该机构位于马赛诸塞州的Framingham市。“即使你按照WS-Security标准构建Web服务,你仍然需要验证这些操作是否正确。”
AppScan 6.5版本发布了一个Web 服务资源管理器,该工具可以使用户探测在Web 服务中是否存在着不同的方法,并且可以通过手工输入数据来监测服务的反馈。AppScan 分析WSDL 文件,然后模拟应用程序对应用程序的互操作。该软件提供了大量的SOAP 测试方法,并且支持JavaScript的执行和解析以及Flash解析。
Weider说,Web 服务面临着很多与Web 应用程序相同的弱点,比如SQL注入,但是就此而言,Web 服务扫描还“没有对此进行关注。”然而,他补充说,“越来越多的人通过Web 服务应用程序互相协作、与合作伙伴进行贸易往来,这样的话,把Web 服务放在互联网上并允许人们自由使用就变得非常有风险。”
同时,Web 服务也在获得支持,信用卡产业已经采用了支付卡产业(PCI) 标准,并且增强了对应用程序安全性的关注。“支付卡产业(PCI) 在安全业内的影响相当大。它是衡量标准,因为任何一个人都可能在线收集信用卡信息,所以其应用程序的安全性是最大的安全问题之一,”Weider说。“显而易见,支付卡产业(PCI)对安全问题和协助处理弱点的自动化工具越来越关注,就这点而言,它在开发商社区的影响也非常大。”
因此,许多组织都已经从类似Watchfire公司这样的开发商那里寻求帮助,尤其是关于Section 6——需要解决开发、维护安全系统和应用程序这一方面的问题,Weider说。
审核渗透测试也需要更先进的自动化工具,Weider说,因此AppScan 6.5也包括一个令牌分析器,能够为Web 应用程序会话令牌提供各种的测试来确定应用程序防范会话截获的安全程度。而且,AppScan的新的身份验证测试工具是用来测试暴力密码破解的应用程序,它能够检测出为了进入Web 应用程序所使用的所有用户名密码组合。
应用程序的弱点评估工具,比如AppScan 是广泛的安全弱点管理(SVM)软件市场中的一部分,根据国际数据机构(IDC.)资料显示,该市场计划从2005年的13.7亿美金增长到2009年的31亿美金。在这个市场中,应用程序的弱点评估软件这一子类在2005年占6140万,计划到2009 年达到14530万,以25%的复合年增长速度。根据国际数据机构(IDC.)资料显示,目前,应用程序弱点评估软件的全世界市场份额中,Watchfire公司占有26.7%。
AppScan 6.5现在可以正式使用,价格从每个许可证1.5万美金起始,开发版从每个许可证1500美金起始。
网友评论