Web服務(wù)防黑談（一）

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Web服務(wù)防黑談（一）

Web服務(wù)革命性地把企業(yè)無(wú)縫地同世界范圍內(nèi)的客戶和其他公司連結(jié)了起來(lái)，令企業(yè)的業(yè)務(wù)開(kāi)發(fā)周期和業(yè)務(wù)流程發(fā)生深刻變化。然而，黑客和信息竊賊的非法活動(dòng)卻可能讓所有這些美好的希望統(tǒng)統(tǒng)落空。

在先前的文章中，我們針對(duì)如何保證具有合法授權(quán)的付費(fèi)用戶訪問(wèn)Web服務(wù)這一問(wèn)題提出了若干種安全方案。在這篇文章里，我們繼續(xù)討論Web服務(wù)安全的另一方面問(wèn)題，那就是如何把黑客狙擊在Web服務(wù)之外。盡管常用于網(wǎng)站的常規(guī)安全技術(shù)大多數(shù)也完全可以應(yīng)用于Web服務(wù)，但是，在具體的實(shí)踐中我們還是應(yīng)該對(duì)Web服務(wù)多加一份小心。這篇分為兩個(gè)部分的文章其宗旨就是討論如何解決這些問(wèn)題以保證你的Web服務(wù)具有最高的安全性。

Web服務(wù)黑客

在我們深入鉆研有關(guān)Web服務(wù)獨(dú)有的安全問(wèn)題之前，你首先得弄清楚你正試圖防范的Web服務(wù)黑客到底分成哪些類型。當(dāng)然，我們無(wú)法窺測(cè)潛在的Web服務(wù)黑客到底具有怎樣的動(dòng)機(jī)，不過(guò)，理解可能攻擊服務(wù)的黑客類型還是非常重要的。我們主要關(guān)注3種類型的黑客，他們分別是破壞者、信息竊賊和功能竊賊。

破壞者

這類黑客的行事目的很簡(jiǎn)單——純粹就是制造混亂。破壞者會(huì)嘗試關(guān)閉你的Web服務(wù)、修改Web服務(wù)器上的數(shù)據(jù)或者實(shí)施其他惡意行為，反正就是為了取樂(lè)或者腦子里有水！這類黑客行為不但令人憤怒，而且，從服務(wù)可用性的角度看還會(huì)損害你的業(yè)務(wù)運(yùn)行，但是它的影響通常也可以通過(guò)網(wǎng)站的周密監(jiān)視和優(yōu)秀的備份策略減到最小。另兩種Web服務(wù)黑客才是對(duì)你的業(yè)務(wù)和公司的最大威脅。

信息竊賊

信息竊賊的攻擊目的就是非法地獲取公司或顧客的信息。這類信息可以用來(lái)進(jìn)行信用卡犯罪、敲詐企業(yè)或提供給商業(yè)間諜。相比普通的網(wǎng)站，信息竊賊對(duì)Web服務(wù)更具危險(xiǎn)性，因?yàn)樵S多Web服務(wù)特別設(shè)計(jì)為傳播敏感信息。例如，如果你所在公司的Web服務(wù)向你提供的客戶報(bào)告包括了信用卡信息、地址或者電話號(hào)碼，那么黑客就能夠假冒經(jīng)過(guò)認(rèn)證的用戶竊取這類信息并把它出售給需要這些信息的人。同樣的，如果你的咨詢公司通過(guò)一種Web服務(wù)為你提供了潛在客戶的有關(guān)報(bào)告，那么你的競(jìng)爭(zhēng)對(duì)手就能通過(guò)非法攻擊Web服務(wù)的方式把你的客戶攬到自己麾下。盡管所有的網(wǎng)站都面臨此類黑客攻擊的風(fēng)險(xiǎn)，但是，因?yàn)槟愎_(kāi)發(fā)布直接指向信息的鏈接，所以Web服務(wù)相對(duì)而言在發(fā)生此類攻擊的情況下特別脆弱。

功能竊賊

這類黑客是隨著Web服務(wù)的出現(xiàn)而產(chǎn)生的最新威脅。大多數(shù)普通網(wǎng)站都不會(huì)向用戶直接暴露其內(nèi)部功能。網(wǎng)站的核心功能，不論是購(gòu)買股票還是資金轉(zhuǎn)帳，通常都隱藏在用戶界面之后而且受到多重安全檢查。但Web服務(wù)就不一樣了，同類的功能（具體表現(xiàn)為編程時(shí)的函數(shù)或者方法調(diào)用）必須直接暴露給消費(fèi)服務(wù)的最終用戶。這樣一來(lái)，由于黑客只需要攔截Web服務(wù)的單一功能調(diào)用就足以獲得他（或她）所需要的全部知識(shí)來(lái)發(fā)起自己的服務(wù)功能調(diào)用，所以這種劫持Web服務(wù)的行為相對(duì)而言更容易實(shí)現(xiàn)。

例如，你不妨想象下面的場(chǎng)景：假設(shè)你提供的Web服務(wù)可以讓用戶通過(guò)經(jīng)紀(jì)人購(gòu)買股票。經(jīng)紀(jì)人的網(wǎng)站允許用戶選擇他們想要購(gòu)買的股票類別和數(shù)量，然后即可獲取購(gòu)買股票的資金。接著該網(wǎng)站調(diào)用你的股票購(gòu)買Web服務(wù)，指出股票的類別和數(shù)量以及用戶購(gòu)買股票的各類信息。如果某一位黑客攔截了這一Web服務(wù)并用他（或她）自己的信息替代購(gòu)買者的信息，那么Web服務(wù)就會(huì)把合法用戶支付資金之后購(gòu)買的股票付給黑客。或者，再舉個(gè)例子，假如黑客登錄到經(jīng)紀(jì)人的站點(diǎn)為他（或她）購(gòu)買股票，因?yàn)樗蛩谶M(jìn)行這一購(gòu)買交易，所以他或她能確切地知道什么時(shí)候會(huì)對(duì)Web服務(wù)進(jìn)行調(diào)用，這樣一來(lái)要攔截Web服務(wù)調(diào)用就更容易了。黑客隨后即可增加他或她所購(gòu)買股票的數(shù)量。雖然他或她僅僅支付了購(gòu)買10股股票所需的資金，但你的Web服務(wù)卻可能在黑客的帳戶上分配了1000股。

第一層保護(hù)

為所有網(wǎng)站和Web服務(wù)提供保護(hù)的第一個(gè)層次就是所謂的SSL（安全套接字層）。這是一種當(dāng)前常用在網(wǎng)站上保護(hù)所有信用卡交易的工業(yè)標(biāo)準(zhǔn)；市場(chǎng)上的各種主要瀏覽器都支持SSL。 SSL采用公鑰體系結(jié)構(gòu)（PKI）保護(hù)客戶機(jī)和服務(wù)器之間的通訊安全。PKI使用VeriSign之類的認(rèn)證中心（Certification Authority）決定客戶機(jī)和服務(wù)器之間所采用的加密措施。

進(jìn)行一宗 SSL 交易的第一步是客戶機(jī)向服務(wù)器提出安全通訊的請(qǐng)求。如果服務(wù)器配置了數(shù)字證書，它就用該證書的一份拷貝及其密鑰的公共部分（參見(jiàn)圖A）響應(yīng)請(qǐng)求。客戶機(jī)通過(guò)認(rèn)證中心驗(yàn)證公鑰保證它沒(méi)有被偽造。一旦公鑰被接受，客戶機(jī)就準(zhǔn)備自己請(qǐng)求，同時(shí)用它從服務(wù)器那里收到的公鑰對(duì)請(qǐng)求進(jìn)行加密。經(jīng)過(guò)加密的消息隨后被發(fā)送給服務(wù)器，服務(wù)器則使用自己存儲(chǔ)的秘鑰的私有部分對(duì)該消息解密。

圖A

采用公鑰體系結(jié)構(gòu)的SSL加密通訊

SSL是一種具有最少開(kāi)發(fā)時(shí)間和使用完全透明的安全通訊機(jī)制。因?yàn)?SSL 對(duì)客戶機(jī)上的通訊全部進(jìn)行加密，所以攔截Web服務(wù)調(diào)用的黑客只能看見(jiàn)經(jīng)過(guò)加密之后的消息，從而保護(hù)了你的方法名和參數(shù)定義等秘密信息。

但是，在單單依賴SSL保護(hù)你的Web服務(wù)之前還需要考慮一些可能的缺點(diǎn)。比如從認(rèn)證中心購(gòu)買數(shù)字證書和服務(wù)是要錢的。有時(shí)費(fèi)用可能高達(dá)1000美元之多，具體取決于發(fā)出證書的認(rèn)證中心和證書的加密強(qiáng)度。

而且，不管費(fèi)用多少，購(gòu)買證書的加密強(qiáng)度并一定能決定每宗交易所采用的加密強(qiáng)度。大多數(shù)的瀏覽器都支持完整的128位加密。然而，由于出口法律的某些規(guī)定，同類瀏覽器還必須提供強(qiáng)度更弱的40位加密版本。用來(lái)對(duì)消息加密的位數(shù)決定了解密的難度。就算你為你的Web服務(wù)器購(gòu)買了128位證書，如果客戶瀏覽器（或其他應(yīng)用程序）僅僅支持 40 位的加密算法，那么消息將自動(dòng)地采用強(qiáng)度更弱的保護(hù)措施實(shí)施加密。

黑客的解秘能力是值得我們關(guān)注另一焦點(diǎn)問(wèn)題。黑客可以通過(guò)訪問(wèn)安全Web服務(wù)并分析客戶機(jī)和服務(wù)器之間數(shù)據(jù)流量的方式非常容易地獲取SSL秘鑰公共部分。采用這一公鑰就有可能確定出私鑰，這樣，黑客就可以解密所有到達(dá)Web服務(wù)的流量。這是一個(gè)實(shí)施起來(lái)很困難的過(guò)程而且對(duì)那些毛頭黑客而言簡(jiǎn)直是可望而不可及，但是，如果你的Web服務(wù)具有很高的價(jià)值，比如資金轉(zhuǎn)帳或購(gòu)買股票等，那么總會(huì)有黑客無(wú)法抗拒誘惑而窮盡全力、蠢蠢欲動(dòng)。

后續(xù)

在這篇文章的第二部分，我們將繼續(xù)討論可用來(lái)保護(hù)Web服務(wù)安全的其他技術(shù)，例如使用Web服務(wù)路由器、參數(shù)擾亂以及其他加密技術(shù)等。

瀏覽：Web服務(wù)防黑談（二）