Связаться по Skype: vkarabedyants
Позвонить Написать
+7 (499) 404-28-83

Блог о системном администрировании серверов и сайтов

Установка, настройка программного обеспечения Linux, Windows операционных систем

Принцип действия веб-сервисов и их уязвимости

Веб-сервисы, которые на сегодняшний день широко используются абсолютно во всех типах веб-приложений, представляют собой «клей», который позволяет разрозненным веб-приложениям беспрепятственно общаться друг с другом. Веб-сервисы позволяют компьютерам предоставлять друг другу услуги без посредничества человека.

Веб-сервисы строятся на основе трех веб-технологий:

  • Язык WSDL (Web Services Definition Language; язык определения веб-сервисов), который представляет собой XML-описание точек подключения, доступных для пользователей веб-сервиса.
  • Спецификация UDDI (Universal Description, Discovery, and Integration; универсальная система предметного описания и интеграции), которая представляет собой набор XML-протоколов и инфраструктуру для описания и обнаружения веб-сервисов.
  • Протокол SOAP (Simple Object Access Protocol; простой протокол доступа к обьектам), который предназначен для обмена сообщениями на основе XML и для осуществления RPC-взаимодействия между веб-сервисами.

Благодаря трем этим технологиям веб-сервисы способны описывать свои собственные функции, искать другие вебсервисы и динамически взаимодействовать с ними.

Три этих технологии позволяют программисту взаимодействовать с веб-сервисами в произвольном порядке и таким образом создавать гибкие многофункциональные веб-приложения. Кроме того, веб-сервисы предоставляют разрозненным разработчикам возможность организовывать бесшовное взаимодействие между их веб-приложениями, независимо от того, на основе каких технологий эти вебприложения работают: ASP.NET, ISAPI, COM, РНР, J2EE или что-то еще. Такая особенность веб-сервисов очень удобна для проведения бизнес-операций в электронной среде.

Поэтому естественно, что веб-сервисы представляют собой привлекательную для киберзлоумышленников цель. Хит-парад уязвимостей, наиболее актуальных для веб-приложений (см. рис.), содержит три строчки, которые непосредственно с веб-сервисами связаны: А1:2017 (инъекции), А4:2017 (ХХЕ), А8:2017 (небезопасная десериализация). Небезопасную десериализацию мы уже рассмотрели. Теперь вкратце рассмотрим ХХЕ (XML External Entities) и инъекции.

Посредством ХХЕ злоумышленники делают инъекции в XML-потоки и таким образом получают низкоуровневый доступ к проходящим через веб-приложение данным (см. рис.).Обработка XML-потока на серверной стороне начинается с расчленения этого потока XML-парсером. XML-парсеры, как правило, содержат множество уязвимостей, потому что либо разрабатываются на скорую руку, либо настраиваются неправильно. Эксплуатируя уязвимости XML-парсеров посредством инъекций в XML-потоки, киберзлоумышленник может получить доступ к файловой системе, к сетевым дискам и к другим ресурсам удаленного сервера. Благодаря уязвимостям XML-napcepa киберзлоумышленник также может осуществить SSRF-атаку, DoS-атаку, похитить ценные файлы, исходные коды, конфиденциальную информацию.

Защита сайта от атак, обращайтесь [email protected]

Оставить комментарий

Лимит времени истёк. Пожалуйста, перезагрузите CAPTCHA.