亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb

首頁 > 開發 > XML > 正文

保護 XML Web 服務免受黑客攻擊(3)

2024-09-05 20:55:52
字體:
來源:轉載
供稿:網友
matt powell
microsoft corporation
2001 年 9 月 19 日
在上一篇文章中,我們討論了不同種類的攻擊,以及如何進行配置以免受到攻擊。本文中,我們將集中討論如何進行設計和開發,以免受到攻擊。
首先,我想介紹兩個非常好的新工具,它們是 microsoft® 開發的,可使您的 web 服務器獲得最大的安全性。iis lockdown tool(英文)可以最大限度地防止可能的攻擊者對您的 microsoft® internet information server (iis) 進行訪問。鎖定工具還提供了“advanced”選項,您可以在其中選擇所需設置。此外還提供了“rollback changes”選項。當您對所做更改不滿意時可選擇該選項。請嘗試該工具。
另一個重要工具是用于 iis 5.0 的 hotfix checking tool(英文)。該工具會查詢由 microsoft 發布的所有可用安全性修補程序的 xml 文檔(該文檔是不斷更新的),然后將此文檔與本機安裝的文檔進行比較并報告其差異。使用該工具可以更輕松地管理單個 web 服務器或大型 web 領域的安全修補程序。

設計問題


設計 web 服務時必須認真考慮安全問題,以及如何能夠使遭受攻擊的危險性降到最低。許多在試圖防止攻擊時可能起作用的因素都可以在設計時予以考慮。例如考慮如何進行身份驗證,或希望返回哪類錯誤等問題。

確定安全需求


在 xml web 服務設計的早期,您需要確定所需的安全級別。某些 xml web 服務根本不需要身份驗證,而其他服務對于確定使用該服務的用戶有非常嚴格的要求。由 xml web 服務接收和發送的數據需要何種隱私級別?如果某個 xml web 服務用戶聲明他們未請求您記錄中所指明的服務,則在工時、處理能力或法律費用方面可能要花費哪些成本?
首先,讓我們來看一下身份驗證。某些種類的身份驗證會比其他身份驗證更容易遭受攻擊。在低端,如果您使用“http 基本身份驗證”,則可以看到網絡上的數據包的所有用戶都能看到您的用戶名和密碼。如果通過 internet 發送請求,則您無法控制能看到您的數據包的用戶。在身份驗證級別的高端,您可以考慮使用 ssl 客戶端證書進行身份驗證,該證書提供了一個編碼的通道,并使數據包的惡意攻擊者很難進行攻擊。有關身份驗證選項的詳細討論,請參閱 at your service 專欄中 mary kirtland 的 authentication and authorization(英文)。
我們已經間接提到了身份驗證過程中的隱私問題,當涉及到電子欺騙時您應考慮此問題。您還需要知道與所有從 xml web 服務發送和接收的數據有關的隱私問題,而不僅僅是用戶名和密碼。例如,您可能會為通過身份驗證的用戶生成一個會話密鑰,該用戶將此密鑰隨每個請求一起發送以標識自身。如果此密鑰未加密發送,則數據包的惡意攻擊者可以看到此密鑰,并用它向您的 web 服務發送自己的請求,這樣您的 web 服務會將其看作是原來那個合法用戶。
另一個隱私問題是由 web 服務發送和接收的簡單數據。該數據是否因其敏感性強而需要加密?ssl 加密的代價是 web 服務會發送和接收整個加密的通道,從而降低性能。您或許可以只加密請求中的敏感項,但您隨后可能需要在客戶端上安裝自定義編寫的軟件以啟用加密/解密。使用 ssl 加密整個通道的一個優點是:目前大多數客戶端平臺都支持基本 ssl 通信,而不需要針對應用程序編寫特定代碼。
就基本安全性設計而言,還必須考慮否認的概念,即一個用戶可以拒絕承認其通過 xml web 服務執行的操作。例如,如果您提供股票交易服務,而某些人聲稱他們沒有要求您的系統為其出售股票,并且要否認此出售命令。很明顯,與其他服務相比,某些 xml web 服務對這種問題可能會更為關心,但是您應該確定您的服務可能會遇到的危險,以及在方案中應采取什么樣的有效措施。
使用安全的身份驗證系統肯定是避免出現這類危險的首要步驟。例如,使用 http 基本身份驗證可能是不安全的,但是通過使用 ssl 的加密通道來使用此身份驗證則是安全的。如果用戶使用空密碼或容易猜到的密碼,即使具有安全的身份驗證系統也是沒有用的。強制使用強加密密碼是防止出現此類問題的重要步驟??傊?,用戶和服務執行者都有責任防止密碼泄露。
最后,如果不審核通過服務發生的事件,當出現否認情況時,安全的身份驗證和強加密密碼都是毫無意義的。當事務中存在否認威脅時,應記錄這些事務及其用戶、時間、日期等足夠多的信息以標識事務的詳細信息。否則,當出現爭論時,您可能缺少足夠的證據以證實您的觀點。

審核、報告和監視


審核對減少否認危險程度起著重要的作用;在識別其他種類的攻擊過程中,也起著關鍵作用。例如,如果不是您的審核記錄中的統計數據表明您的服務存在異常使用情況,您可能根本意識不到您的服務正在遭受攻擊。例如,您是否注意到某個人正在對登錄方式進行字典攻擊?所以,我們將講述在審核、報告和監視時需要考慮的問題,以保護 xml web 服務免受攻擊。
審核的概念就是記錄所發生的每個事件的所有信息。但是,當通過 xml web 服務的數據量很大時,此想法可能是不切實際的。審核記錄至少應包括所有請求的時間、日期和 ip 地址。如果 xml web 服務經過身份驗證,您需要在每個審核記錄中包括用戶名。如果您的服務支持多種方法或消息格式,您需要標識調用的是哪一個。最后,您需要包括足夠的信息以滿足您標識調用詳細信息的需要。例如,如果 xml web 服務使用了一種方法,您可能希望記錄傳遞給該方法的所有參數。
您還需要考慮其他需要,例如當站點遭到攻擊時您可能需要回滾事務。而且,您的審核記錄往往是某些報告的最佳信息源。由于審核記錄可能相當大,您需要協調審核設計和備份策略。
審核處理的是通過您的服務同時發生的所有事件的記錄,報告則是向用戶、操作員和管理員匯報系統的使用信息。報告是保護 xml web 服務免受攻擊的一個重要部分,因為通過它可以觀察服務的使用情況。一種主要的報告類型是報告發生的錯誤。報告 xml web 服務所遇到的錯誤的能力是最重要的。同樣,您還需要報告那些可能指出惡意客戶端企圖的錯誤。例如,如果所接收請求中的某個參數是一個異常的長字符串,則您需要以一種容易引人注意的方式來報告該錯誤。對于這種類型的錯誤,您應該在應用程序事件日志中創建事件,這樣可以相應地對它們進行監視。有關如何將事件寫入事件日志的詳細信息,請參閱操作系統平臺 sdk 中的 event logging(英文)。
另一種對您的服務至關重要的報告類型是匯總服務使用情況的報告。它應該有兩種形式:首先,創建供您個人進行分析的全局報告,您可以使用該報告檢測使用級別或異常模式。應該對正常報告的外觀具有足夠的了解,這樣您才能夠發現異常使用的情況。其次,需要為您的用戶提供報告。您的用戶還應能夠監視他們對服務的使用情況。很有可能出現這樣的情況:在全局報告中未記錄攻擊行為,而個別用戶卻能立即在其各自的報告中發現問題。
如果 xml web 服務正在 internet information server (iis) 上運行,那么我們就有必要提及一種能免費得到的非常有用的報告類型。即,為所有傳入的 http 請求(包括對您服務的請求)進行的 iis 日志記錄。您可以使用 iis 日志中提供的信息來改進自己的報告。 '
最后,實施了審核及適當的報告方法后,您需要使用某種機制以發現所報告的問題。這就是監視。
可以以不同級別進行監視。當然,定期手動查看報告是監視 xml web 服務的使用情況的一種方式,但是還應檢查事件日志中已報告的錯誤,使用性能監視日志,并利用可以監視 web 服務器停機時間的多種工具中的一種。性能監視對于檢測攻擊可能是非常關鍵的。幸好,與 iis 關聯的大量性能計數器可以為檢測問題提供許多重要的統計數據。
您可能還希望為 xml web 服務創建自己的性能計數器。有關創建您自己的性能計數器的詳細信息,請參閱 performance monitoring(英文)。為了確保引起您對異常情況的特殊關注,應以某種形式通知您正在發生的事件,這點是非常重要的??梢栽诋惓J录l生時,利用性能監視警報發送彈出式消息,或運行某個程序。圖 1 顯示的性能監視警報會監視未完成的 iis isapi 請求的數量,以及當前隊列中的 asp 請求的數量。

圖 1:創建性能監視警報
如果不對可能發生的問題采取一些措施,則對濫用的操作進行審核、報告和監視不會有任何用處。拒絕服務攻擊可能會被定義到特定的 ip 地址,這意味著您可能需要在路由器中過濾來自該地址的請求。但是,拒絕服務攻擊或電子欺騙攻擊可能與 xml web 服務的特定用戶相關。您必須能夠在這種問題發生時禁用帳戶。完成此操作可能僅需在 microsoft® active directory™ 中禁用 windows 用戶帳戶?;蛘撸绻褂玫氖亲约涸O計的身份驗證方式,則意味著必須在用戶記錄中添加一個可以表示禁用帳戶的狀態字段。您還應確認 xml web 服務的用戶同意“服務條款”文檔,該文檔指明在何種情況下您可以刪除或禁用他們的帳戶。

發表評論 共有條評論
用戶名: 密碼:
驗證碼: 匿名發表
亚洲香蕉成人av网站在线观看_欧美精品成人91久久久久久久_久久久久久久久久久亚洲_热久久视久久精品18亚洲精品_国产精自产拍久久久久久_亚洲色图国产精品_91精品国产网站_中文字幕欧美日韩精品_国产精品久久久久久亚洲调教_国产精品久久一区_性夜试看影院91社区_97在线观看视频国产_68精品久久久久久欧美_欧美精品在线观看_国产精品一区二区久久精品_欧美老女人bb
丝袜亚洲另类欧美重口| 亚洲欧美综合区自拍另类| 日韩女优在线播放| www.亚洲男人天堂| 成人在线激情视频| 日本欧美国产在线| 国产精品成av人在线视午夜片| 高清视频欧美一级| 91免费高清视频| 欧美成人激情在线| 日韩av手机在线观看| 欧美成人精品在线观看| 久久久久久香蕉网| 97热在线精品视频在线观看| 国产精品美女无圣光视频| 国产精品激情av电影在线观看| 97国产精品免费视频| 日韩欧美精品中文字幕| 高跟丝袜一区二区三区| 国产日韩欧美在线视频观看| 97在线观看免费| 国产一区二区三区在线观看视频| 97av在线视频| 91精品国产色综合久久不卡98| 欧美日韩精品二区| 国产精品第一视频| 久久理论片午夜琪琪电影网| 国内精品视频一区| 久久天天躁狠狠躁夜夜躁| 久久久久中文字幕2018| 日韩在线观看免费全| 国产午夜精品美女视频明星a级| 国产成人高清激情视频在线观看| 秋霞成人午夜鲁丝一区二区三区| 91极品女神在线| 日韩在线观看精品| 欧美精品国产精品日韩精品| 中文字幕亚洲欧美日韩在线不卡| 欧美电影在线观看完整版| 国产日韩换脸av一区在线观看| 久久这里只有精品99| 欧美激情视频网址| 一区二区三区四区精品| 日韩黄在线观看| 国产精品自产拍高潮在线观看| 成人福利在线观看| 亚洲男人的天堂在线播放| 色偷偷av一区二区三区乱| 伊人av综合网| 国产精品久久久久久久久久久久久久| 91成人精品网站| 亚洲精品一区在线观看香蕉| 国产午夜精品美女视频明星a级| 国产一区二区在线播放| 久久精品精品电影网| 97精品一区二区视频在线观看| 九九热这里只有精品免费看| 亚洲国产成人精品久久久国产成人一区| 一区二区三区国产在线观看| 国产主播在线一区| 久久久精品在线观看| 日本高清视频精品| 日韩视频第一页| 久久99精品久久久久久青青91| 国产欧美日韩丝袜精品一区| 国产精品成人一区二区| 日本精品视频在线| 欧美极品少妇xxxxⅹ裸体艺术| 欧美视频中文字幕在线| 91网站在线看| 97精品视频在线播放| 亚洲片在线观看| 91精品在线观看视频| 国产精品视频xxxx| 日本aⅴ大伊香蕉精品视频| 日本精品视频在线观看| 亚洲黄色www网站| 欧美一级片免费在线| 国产不卡在线观看| 国产成人精品免高潮在线观看| 亚洲福利视频网| 日韩免费观看av| 欧美夫妻性视频| 欧美久久精品一级黑人c片| 精品一区电影国产| 色偷偷亚洲男人天堂| 欧美猛男性生活免费| 人妖精品videosex性欧美| 国产一区二区免费| 91系列在线观看| 欧美中文字幕在线播放| 在线观看国产欧美| 国产精品自拍视频| 热久久99这里有精品| 欧美孕妇与黑人孕交| 黑人巨大精品欧美一区二区一视频| 国产精品极品美女在线观看免费| 中文字幕精品视频| 久久精品亚洲一区| 最近2019中文字幕一页二页| 亚洲乱码国产乱码精品精天堂| 亚洲国产日韩欧美在线99| 亚洲视频综合网| 92看片淫黄大片欧美看国产片| 97超级碰在线看视频免费在线看| www.午夜精品| 久久影视免费观看| 国产精品第一页在线| 97视频免费在线观看| 日韩av快播网址| 一区二区av在线| 久久久视频免费观看| 91精品久久久久久久| 中文字幕在线看视频国产欧美| 国产成人精品综合久久久| 欧美华人在线视频| 国产精品91免费在线| 日韩美女写真福利在线观看| 国产xxx69麻豆国语对白| 亚洲精品免费在线视频| 国产欧美精品日韩| 日韩av中文字幕在线免费观看| 高潮白浆女日韩av免费看| 国产精品一区二区av影院萌芽| 国产精品自产拍高潮在线观看| 久久久久久69| 国产精品极品尤物在线观看| 久久久久久久久久久av| 欧美尺度大的性做爰视频| 国产精品在线看| 日韩免费电影在线观看| 国产+人+亚洲| 欧美主播福利视频| 欧美成人免费全部观看天天性色| 97在线视频一区| 欧洲美女7788成人免费视频| 北条麻妃99精品青青久久| 欧美日韩在线影院| 久青草国产97香蕉在线视频| 国语自产精品视频在线看抢先版图片| 欧美丝袜第一区| 另类天堂视频在线观看| 高清日韩电视剧大全免费播放在线观看| 亚洲色图第一页| 久久亚洲一区二区三区四区五区高| 欧美日韩福利在线观看| 欧美成人精品一区二区| 国产成人精品免高潮在线观看| 国产精品青草久久久久福利99| 欧美成人三级视频网站| 一区二区在线视频播放| 久久精品国产清自在天天线| 国产精品久久久久久亚洲调教| 成人黄色网免费| 日韩中文娱乐网| 亚洲娇小xxxx欧美娇小| 久久欧美在线电影| 欧美午夜xxx| 97国产一区二区精品久久呦| 日韩国产高清污视频在线观看| 日韩av电影免费观看高清| 超碰91人人草人人干| 亚洲人午夜精品| 欧美在线视频观看|