亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb

首頁 > 學院 > 開發設計 > 正文

mod_security保障Web Services的安全一(圖)

2019-11-18 12:26:54
字體:
來源:轉載
供稿:網友

  Web服務正在變為下一代web應用的一個完整部分。但是它也較輕易被攻擊。這些攻擊的種類與傳統的web應用所受到的攻擊是相同的,但是形式上發生了變化。這些攻擊會導致信息泄漏;另外,這些攻擊有助于執行遠程命令。通過使用WSDL,一個攻擊者能夠確定web服務的入口和可用的接口。這些接口或方法使用SOAP協議通過HTTP/HTTPS方式得到輸入。假如在源代碼層沒有好的保護,您的應用就會處于危險。mod_security作為一個Apache web服務器模塊,是一種保護web服務免受惡意攻擊(包括封裝在SOAP封套內的惡意數據)的理想解決方案。
  
  問題域
  
  Web服務所遭到的四種主要攻擊:
  變量長度緩沖區(Variable-length buffer)注入
  元字符注入
  SQL注入
  SOAP錯誤代碼信息暴露(譯者注:是指返回的Exception信息的暴露)
  
  通常防火墻配置會答應HTTP/HTTPS傳輸無礙的進入。通常對web服務的攻擊會偽裝成合法的HTTP/HTTPS傳輸,從而蒙騙了防火墻。這篇文章將告訴您如何區分合法的HTTP/HTTPS傳輸和惡意的HTTP/HTTPS傳輸,并截獲惡意傳輸。這樣將能夠在很大程度上減輕對80/443端口的攻擊。
  
  解決方案是什么?
  
  有很多解決方案,從安全代碼到輸入驗證。一個途徑是通過對每一個請求的內容用事先定義好的規則進行驗證。這種途徑在源代碼層上阻止了惡意SOAP請求滲透入web服務。如您為web服務正確部署并配置了mod_security,它將能夠阻止所有上述的攻擊。這篇文章將具體的討論mod_security如何能成為web 服務有效的防范工具。
  
  當部署完web服務后,提供一個防御手段來防范不同類型的攻擊是很重要的。每一種攻擊都需要不同的防范策略。假設有這么一個銀行—這個銀行僅僅是一個作為例子的假想銀行。
  
  Blue 銀行(www.bluebank.example.com)最近剛剛部署了web服務,并使用mod_security對web服務進行保護。該銀行通過internet向它的金融合作伙伴和客戶提供銀行服務。它的web服務提供在線的客戶服務,比如帳目結算,資金周轉和更改用戶信息。圖1解釋了在Blue Bank部署的web服務的架構。
  
 mod_security保障Web Services的安全一(圖)(圖一)

  
圖 1. Blue銀行的部署

  
  有許多部署web服務的方法。在這個例子中,web服務運行在Tomcat/Axis上。banking web服務應用以java編碼(以.jws作為擴展名)。
  
  相關的Apache和Axis配置文件片斷包含用來加載Tomcat的Apache httpd.conf:
  
  LoadModule jk2_module modules/mod_jk2.soJkSet config.file /usr/local/apache2/conf/workers2.PRoperties
  
  讓web服務支持AxisServlet 的Axis web.xml文件:
  
  <servlet-mapping>
  <servlet-name>AxisServlet</servlet-name>
  <url-pattern>*.jws</url-pattern>
  </servlet-mapping>
  
  像如上配置之后,您將可以在該服務器上部署任何web服務。假如您注重到該服務器發回的如下的頭信息,您能夠識別如下這一行:
  
  Server: Apache/2.0.50 (Unix) mod_ssl/2.0.50 OpenSSL/0.9.7d mod_jk2/2.0.4
  
  以上的消息頭說明服務器是運行于Tomcat模塊mod_jk2/2.0.4之上的Apache/2.0.50 (Unix)。Axis作為Tomcat web應用的一部分并且已經可以部署web服務。為了給web服務層提供保護,Blue銀行已經加載了有application級過濾能力的mod_security模塊。下面一行在httpd.conf中的信息加載安全模塊:
  
  LoadModule security_module modules/mod_security.so
  
  當部署好mod_security后,Blue銀行可以在httpd.conf里添加過濾規則:
  
  <IfModule mod_security.c>
  # Turn the filtering engine On or Off
  SecFilterEngine On
  SecFilterDefaultAction "deny,log,status:500"
  SecFilterScanPOST On
  . . .
  # Other rules
  . . .
  </IfModule>
  
  通過上面的配置,Blue Bank已經為治理員和開發人員預備好創建web服務,并利用mod_security的有效的內容過濾能力來防范惡意HTTP/HTTPS請求。
  
  考慮一個web服務例子
  
  如:www.bluebank.example.com/axis/getBalance.jws.
  這個web服務的WSDL請求來自:www.bluebank.example.com/axis/getBalance.jws?wsdl.
  說明:www.bluebank.example.com是一個虛擬的域名,僅僅作為例子。
  
  從WSDL得到 方法/接口 數據來顯示帳目結算信息
  
  仔細觀察HTTP請求獲得的WSDL應答結果。這里重點觀察一個調用方法,該方法輸入bank id 然后返回相關賬目結算信息并通過Http傳遞給客戶端。Operation標簽指定web服務能夠調用的方法。相關的wsdl代碼片斷如下:
  
  <wsdl:operation name="getInput">
  <wsdlsoap:operation soapAction=""/>
  <wsdl:input name="getInputRequest">
  <wsdlsoap:body encodingStyle=http://schemas.xmlsoap.org/soap/encoding/namespace="http://DefaultNamespace"use="encoded"/>
  </wsdl:input>
  <wsdl:output name="getInputResponse">
  <wsdlsoap:body encodingStyle=http://schemas.xmlsoap.org/soap/encoding/namespace="http://www.bluebank.example.com/axis/getBalance.jws"use="encoded"/>
  </wsdl:output>
  <wsdl:message name="getInputResponse">
  <wsdl:part name="getInputReturn" type="xsd:string"/>
  </wsdl:message><wsdl:message name="getInputRequest">
  <wsdl:part name="id" type="xsd:string"/></wsdl:message>
  
  如上面代碼所示,當向該方法傳入一個id將得到一個字符串類型的輸出。當你向該方法傳入一個account id,你將回得到該account id的賬目結算。
  
  通過HTTP方式調用web服務
  
  Blue銀行的客戶或者合作伙伴可以通過向banking web服務發送正確格式的SOAP封套來得到要求的信息。圖2展示了一個通過向服務發送account id 12123 來獲取相應賬目結算的HTTP請求。
  
mod_security保障Web Services的安全一(圖)(圖二)

  
圖 2.通過HTTP方式調用web服務

  
  有很多種方法來產生有正確格式的SOAP請求的SOAP客戶。這里有一個用Perl SOAP::Lite實現的SOAP客戶。下面的簡單代碼將生成一個SOAP請求。
  
  #!perl -wuse SOAP::Lite;print SOAP::Lite -> service('http://www.bluebank.example.com/axis/getBalance.jws?wsdl') -> getInput('12123');
  
  在網絡上探測到HTTP請求和應答是可能的,比如用ethereal。一個發送到www.bluebank.example.com 的包含id 信息為12123的HTTP/SOAP請求將產生如下信息:
  
  POST /axis/getBalance.jws HTTP/1.0Content-Type: text/xml; charset=utf-8SOAPAction: ""Content-Length: 576EXPect: 100-continueHost: www.bluebank.example.com<?xml version="1.0" encoding="utf-8"?>
  <soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/"xmlns:tns="http://www.bluebank.example.com/axis/getBalance.jws" xmlns:types="http://www.bluebank.example.com/axis/getBalance.jws/encodedTypes"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xmlns:xsd="http://www.w3.org/2001/XMLSchema">
  <soap:Bodysoap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <q1:getInput xmlns:q1="http://DefaultNamespace">
  <id xsi:type="xsd:string">12123</id>
  </q1:getInput>
  </soap:Body>
  </soap:Envelope>
  ...HTTP/1.1 200 OKDate: Mon, 03 Jan 2005 19:24:10 GMTServer: Apache/2.0.50 (Unix) mod_ssl/2.0.50 OpenSSL/0.9.7d mod_jk2/2.0.4Set-Cookie: JSESSIONID=69C6540CC427A8B064C0795ADDFC20EA; Path=/axisContent-Type: text/xml;charset=utf-8Connection: close<?xml version="1.0" encoding="UTF-8"?>
  <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
  xmlns:xsd="http://www.w3.org/2001/XMLSchema"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <soapenv:Body>
  <ns1:getInputResponsesoapenv:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"
  xmlns:ns1="http://DefaultNamespace">
  <ns1:getInputReturnxsi:type="xsd:string">$2500</ns1:getInputReturn>
  </ns1:getInputResponse>
  </soapenv:Body></soapenv:Envelope>

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb
欧美另类99xxxxx| 欧美黄色三级网站| 欧美成年人视频网站| 日韩av一区二区在线| 亚洲成人免费在线视频| 久热精品在线视频| 久久97精品久久久久久久不卡| 97福利一区二区| 亚洲人av在线影院| 久久久久久久久久久人体| 国产精品久久久久久久久免费看| 黑人极品videos精品欧美裸| 红桃视频成人在线观看| 久久高清视频免费| 国产精品福利无圣光在线一区| 国产91热爆ts人妖在线| 国产一区二区在线免费视频| 欧美成人全部免费| 久久久999国产精品| 91视频免费网站| 欧美精品久久久久久久久久| 欧美精品一区三区| 国产成人精品最新| 亚洲精品之草原avav久久| 77777亚洲午夜久久多人| 亚洲跨种族黑人xxx| 北条麻妃在线一区二区| 在线精品高清中文字幕| 2019精品视频| 亚洲欧美日韩网| 亚洲欧美国产精品| 中日韩午夜理伦电影免费| 91色在线视频| 91wwwcom在线观看| 久久97久久97精品免视看| 北条麻妃一区二区在线观看| 日本在线观看天堂男亚洲| 66m—66摸成人免费视频| 成人福利网站在线观看11| 成人免费直播live| 色综合91久久精品中文字幕| 亚洲精品国产精品久久清纯直播| 日日骚av一区| 国产精品夜间视频香蕉| 亚洲图片欧洲图片av| 国语自产精品视频在线看一大j8| 亚洲一区二区三区毛片| 另类色图亚洲色图| 亚洲国产高清高潮精品美女| 亚洲一区二区久久久| 久久91亚洲精品中文字幕| 久久色免费在线视频| 91伊人影院在线播放| 午夜欧美不卡精品aaaaa| 欧美国产在线电影| 福利视频一区二区| 欧美黄色片在线观看| 欧美黑人xxxⅹ高潮交| 精品少妇一区二区30p| 成人乱色短篇合集| 国产男人精品视频| 日本精品一区二区三区在线播放视频| 国产成人涩涩涩视频在线观看| 亚洲伦理中文字幕| 57pao成人国产永久免费| 岛国精品视频在线播放| 国产精品视频色| 欧美刺激性大交免费视频| 亚洲丁香婷深爱综合| 亚洲性视频网站| 欧美日韩xxxxx| 大桥未久av一区二区三区| 国产成人在线播放| 国产精品激情av电影在线观看| 日韩欧美aⅴ综合网站发布| 久久在线免费观看视频| 亚洲在线第一页| 欧美在线激情网| 国产亚洲精品久久久久动| 欧美一二三视频| 色综合久久久久久中文网| 蜜臀久久99精品久久久无需会员| 亚洲三级免费看| 91久久久久久久久| 国产激情综合五月久久| 国产999精品久久久影片官网| 欧美电影在线观看高清| 欧美不卡视频一区发布| 2019中文字幕免费视频| 欧美在线一级视频| 有码中文亚洲精品| 亚洲专区中文字幕| 国产精品成人一区二区三区吃奶| 亲子乱一区二区三区电影| 热久久这里只有精品| 91成人天堂久久成人| 亚洲成人亚洲激情| 久久久久久综合网天天| 久久久久久久久久久免费| 国产区精品在线观看| 国产亚洲人成a一在线v站| 91免费版网站入口| 日韩欧美在线播放| 伊人成人开心激情综合网| 日本19禁啪啪免费观看www| 亚洲精品日韩av| 中文字幕精品久久| 欧美性xxxxx极品娇小| 欧美日韩国产一中文字不卡| 91豆花精品一区| 成人网中文字幕| 欧美电影免费观看电视剧大全| 亚洲国产精品久久精品怡红院| 日韩精品福利网站| 国产精品久久久久久久久久久久| 成人国内精品久久久久一区| 国产免费亚洲高清| 国产亚洲一区二区在线| 精品一区二区三区三区| 在线中文字幕日韩| 国产色婷婷国产综合在线理论片a| 国产日韩在线播放| 国产亚洲免费的视频看| 亚洲一区二区三区在线视频| 久久久久久久网站| 国产日产亚洲精品| 国产成一区二区| 欧美极品少妇xxxxⅹ喷水| 国产欧美一区二区三区久久人妖| 国产精品久久久久久久一区探花| 欧美激情在线播放| 成人国产在线激情| 亚洲欧美日韩精品久久亚洲区| 国产激情久久久久| 久久成人精品一区二区三区| 欧美精品久久久久久久免费观看| 欧美激情国产精品| 亚洲精品资源在线| 国产日韩欧美中文| 亚洲一区二区国产| 国产精品久久久久久久久影视| 国产美女精品免费电影| 在线观看国产精品日韩av| 欧洲s码亚洲m码精品一区| 91国内产香蕉| 久久伊人精品一区二区三区| 欧美黑人巨大精品一区二区| 亚洲欧美另类在线观看| 中文字幕日韩免费视频| 国产小视频国产精品| 日韩影视在线观看| 欧美电影在线观看高清| 国内自拍欧美激情| 这里精品视频免费| 日韩免费av一区二区| 国产亚洲精品久久久久久牛牛| 日韩欧美在线视频观看| 美女国内精品自产拍在线播放| 伊人伊成久久人综合网站| 欧美激情国产日韩精品一区18| 日韩在线视频免费观看高清中文| 欧美激情视频一区| 奇米影视亚洲狠狠色| 国产精品极品美女粉嫩高清在线|