一點宣告:
綠色:必須理解的知識點。
紅色:存在疑問並需要深入的知識點。
藍色:在應用此專案技術的過程中,需要注意的地方。
一、前言
去年年底,應聘的幾家公司均對web service的安全做出過考核,可見在電子商務**等bs應用中,ws還是有一定的市場,
二、概述
我們使用 web services 通過 internet 向自己的客戶和合作夥伴提供某個產品的服務。如果您的公司恰好為此提供產品的技術服務,也正好採用了ws做為溝通與聯絡的通道,那麼,相信雙方對ws的安全性的要求一定非常的高。在intranet 或 extranet 的環境下(您對兩個終結點都有一定程度的控制權),可以使用作業系統和 internet 資訊服務 (iis) 所提供的基於平台的安全服務來提供點對點的安全解決方案。然而,基於訊息的 web services 體系結構和日益增加的跨信任邊界的異構環境帶來了新的挑戰。這些情況需要在訊息級別上解決安全問題,以支援跨平台的互操作性和通過多個中間節點進行路由。
web services 安全 (ws-security) 是用來解決這些問題的最新安全標準。wse 允許實施訊息級別的安全解決方案,包括身份驗證、加密和數字簽名。
三、面臨的威脅.
由上可以看出,使用ws作為傳輸通道過程中,會遭遇:未授權的訪問、引數操作、網路竊聽、訊息回覆、配置資料的洩露等五大安全威脅!可以毫不誇張的講,這5項中有一項出現漏洞,都有可能對整個產品與服務造成損失。
四、防範措施
4.1:未授權訪問
漏洞:在訪問的過程中,並沒有對敏感資訊進行身份驗證與授權,如果這樣,攻擊者很可能會利用弱的身份驗證與授權機制對資訊進行訪問.包括:
a):沒有使用身份驗證或在未加密的通訊通道中使用基本身份驗證。
b):最缺乏常識的,就是密碼在 soap 頭資訊中以明文形式傳遞。堅決杜絕此類錯誤發生!
webservice安全驗證
大致可分為下面幾種 1 身份驗證和屬性控制,可以整合windows驗證 域伺服器驗證 net passport驗證。2 ip網域名稱限制,只允許特定的ip或者域內機器訪問,對非法的請求進行過濾,3 安全通訊設定,使用者可以啟用web伺服器證書,採用ssl對網路傳遞的資訊進行加密,來保證web ser...
保證WebService的安全
給第三方做了個webservice,因為都是內部系統沒有用到什麼身份驗證,今晚突發奇想,翻書看了一下,有幾個個人認為不是很好的方法,現在展示出來,只求拋磚引玉 通過soapheader來增強webservice的安全性 通過soapheader可以讓具有指定使用者口令的使用者來訪問自己的webser...
如何保證Web Service的安全
要以安全的方式訪問web服務方法,可以考慮以下安全措施 l 是誰呼叫?soapheader身份認證。l 來自 訪問ip認證。l 加密傳輸 ssl安全訪問。這些安全保護措施常常是配合使用的。1 web service實現步驟 1 定義自己的soapheader派生類。定義自己的soapheader派生...