关注Web 服务安全 警惕黑客攻击

1 view
Skip to first unread message

10...@1024m.com

unread,
Nov 18, 2006, 1:58:43 AM11/18/06
to top...@googlegroups.com, NetMe...@googlegroups.com, eMee...@googlegroups.com, Netwo...@googlegroups.com, web...@googlegroups.com
Web服务安全及其与支付卡产业(PCI)资料安全标准的一致性是最高用户所关心的问
题, Watchfire公司推出的 AppScan Web应用程序弱点评估软件的最新版本旨在解决这
些问题。今天该公司声明,AppScan6.5版本以及AppScan开发版本(DE)提供了扩展的安
全审核功能,它包括:集成的Web服务扫描技术以审核与PCI和ISO 17799以及27001标准
的一致性报告功能。这个扫描工具也包括新增加的高级测试特性——用于协助审核人员
和渗透测试。
  “在简单应用程序采用锁死模式进行保护之后,我们看到Web 服务的保护成为与黑
客战斗的新前线,”Watchfire 公司的技术总监 Michael Weider 说,该公司位于马赛
诸塞州的沃尔瑟姆市。

  现在这家公司正在从Web服务的概念验证阶段向大规模开发阶段迈进,“关于Web
服务的安全问题,用户的关注程度在增加,并且也提出于越来越多的问题,” Weider
说。“我们将看到更多的牵涉到安全问题和Web 服务的案例。”

  由于所有的安全组织都已经涉及到了网络,因此要想危及网络安全是非常困难的,
Weider说,因此黑客现在盯上了Web 站点本身和Web 应用程序。一旦Web 应用程序被保
护,他说“黑客们将转移到下一个领域——攻击Web 服务的弱点。”

  而且,仅仅符合WS-Security标准是远远不够的,Weider说。“这只是开始。这个
标准只是意味着Web 服务能够在这个标准已知的范围内受到保护,但是新的攻击完全可
能在未知的范围内危及Web 服务的安全,而且[黑客]所想的用例并非我们已经想到的。
因此,符合[WS-Security]这个标准也无法低档这些新的攻击。”

  “由于Web 服务需要机器对机器的交互,因此,确保那些与Web 服务相关的操作是
准确无误的,这一点是非常重要的,” 国际数据机构(IDC)安全产品服务的研究主管
Charles Kolodgy说,该机构位于马赛诸塞州的Framingham市。“即使你按照
WS-Security标准构建Web服务,你仍然需要验证这些操作是否正确。”

  AppScan 6.5版本发布了一个Web 服务资源管理器,该工具可以使用户探测在Web
服务中是否存在着不同的方法,并且可以通过手工输入数据来监测服务的反馈。
AppScan 分析WSDL 文件,然后模拟应用程序对应用程序的互操作。该软件提供了大量
的SOAP 测试方法,并且支持JavaScript的执行和解析以及Flash解析。

  Weider说,Web 服务面临着很多与Web 应用程序相同的弱点,比如SQL注入,但是
就此而言,Web 服务扫描还“没有对此进行关注。”然而,他补充说,“越来越多的人
通过Web 服务应用程序互相协作、与合作伙伴进行贸易往来,这样的话,把Web 服务放
在互联网上并允许人们自由使用就变得非常有风险。”

  同时,Web 服务也在获得支持,信用卡产业已经采用了支付卡产业(PCI) 标准,并
且增强了对应用程序安全性的关注。“支付卡产业(PCI) 在安全业内的影响相当大。它
是衡量标准,因为任何一个人都可能在线收集信用卡信息,所以其应用程序的安全性是
最大的安全问题之一,”Weider说。“显而易见,支付卡产业(PCI)对安全问题和协助
处理弱点的自动化工具越来越关注,就这点而言,它在开发商社区的影响也非常大。”


  因此,许多组织都已经从类似Watchfire公司这样的开发商那里寻求帮助,尤其是
关于Section 6——需要解决开发、维护安全系统和应用程序这一方面的问题,Weider
说。

  审核渗透测试也需要更先进的自动化工具,Weider说,因此AppScan 6.5也包括一
个令牌分析器,能够为Web 应用程序会话令牌提供各种的测试来确定应用程序防范会话
截获的安全程度。而且,AppScan的新的身份验证测试工具是用来测试暴力密码破解的
应用程序,它能够检测出为了进入Web 应用程序所使用的所有用户名密码组合。

  应用程序的弱点评估工具,比如AppScan 是广泛的安全弱点管理(SVM)软件市场中
的一部分,根据国际数据机构(IDC.)资料显示,该市场计划从2005年的13.7亿美金增长
到2009年的31亿美金。在这个市场中,应用程序的弱点评估软件这一子类在2005年占
6140万,计划到2009 年达到14530万,以25%的复合年增长速度。根据国际数据机构
(IDC.)资料显示,目前,应用程序弱点评估软件的全世界市场份额中,Watchfire公司
占有26.7%。

  AppScan 6.5现在可以正式使用,价格从每个许可证1.5万美金起始,开发版从每个
许可证1500美金起始。

_________________________________________________________________
与联机的朋友进行交流,请使用 MSN Messenger: http://messenger.msn.com/cn

Reply all
Reply to author
Forward
0 new messages