在與開發(fā)人員就 xml web 服務(wù)的將來談話的過程中我們得知,他們最大的擔(dān)心之一就是害怕軟件中存在的弱點可能使服務(wù)受到不懷好意的用戶的攻擊。這可以說既是一個壞消息,又是一個好消息。說它是壞消息,是因為攻擊可能導(dǎo)致服務(wù)的可用性受限制、私有數(shù)據(jù)泄露,更糟糕的情況是,使計算機的控制權(quán)落入這些不懷好意的用戶的手中。說它是好消息,是因為您可以獲得一些真正的保護(hù),以減少這些攻擊所帶來的風(fēng)險。我們將介紹已出現(xiàn)的攻擊類型,以及您如何保護(hù)自己在部署、設(shè)計和開發(fā)領(lǐng)域的心血。此主題的第一篇專欄文章將集中講述部署時應(yīng)考慮的問題,下一篇專欄文章將講述在開發(fā) xml web 服務(wù)時需注意的設(shè)計和開發(fā)問題。
在要求身份驗證的系統(tǒng)上,最常見的黑客攻擊之一是算出某個用戶的身份驗證證書,以該用戶登錄,然后訪問該用戶的信息。這已經(jīng)很糟糕了,但如果被泄露的證書屬于系統(tǒng)管理員或其他某個具有更高權(quán)限的用戶,則風(fēng)險會更大。因為,在這種情況下,攻擊可能不僅限于泄露單個用戶的數(shù)據(jù),而且有泄露所有用戶數(shù)據(jù)的可能。 黑客可能會使用多種方法來確定用戶的密碼。例如:嘗試對該用戶有意義的字,如該用戶的姓名、其寵物的名字或生日。更有恒心的黑客甚至?xí)L試字典中的每個字(字典攻擊)。獲取證書信息的其他方法包括:捕捉網(wǎng)絡(luò)數(shù)據(jù)包并讀取發(fā)送的數(shù)據(jù)中的信息;通過 dns 欺騙,插入一臺不懷好意的計算機,作為客戶端和服務(wù)器之間的中介;假裝系統(tǒng)管理員,以排除故障為由,要求用戶給出其證書;或者,記錄與服務(wù)器的登錄握手,然后重復(fù)這一過程,嘗試通過身份驗證。 可以通過采取諸如強制實現(xiàn)加強密碼等措施以及使用安全身份驗證機制,來緩解由欺騙所帶來的大多數(shù)風(fēng)險。
利用錯誤
決定系統(tǒng)弱點的關(guān)鍵因素之一是運行在該系統(tǒng)上的代碼的質(zhì)量。系統(tǒng)錯誤不僅僅局限于使某個特定的線程出現(xiàn)異常。黑客可能利用這些弱點在系統(tǒng)上執(zhí)行他們自己的代碼,訪問具有較高權(quán)限的資源,或者,只是利用可能潛在地引起系統(tǒng)速度減慢或變得不可用的資源漏洞(由錯誤引起的)。這種攻擊中最著名的一個例子就是紅色代碼蠕蟲病毒,這種病毒利用 index server isapi 擴展中的錯誤,在受感染的系統(tǒng)上執(zhí)行它選擇的代碼,然后繼續(xù)尋找其他有弱點的計算機。 另外一種常見攻擊就是利用輸入數(shù)據(jù)的有效性假設(shè)方面的錯誤。例如,xml web service 希望用戶名作為參數(shù)輸入的情況。如果您假設(shè)用戶名僅包含 ascii 字符串,并因此將它直接放入您的 sql 查詢,可能會使您的服務(wù)出現(xiàn)嚴(yán)重的弱點。例如,假設(shè)您的代碼中有一個 sql 查詢,如下所示:
sqlquery = "select * from users where (username='" & usernameinput & "')
如果 usernameinput 參數(shù)包含的內(nèi)容恰好如下所示
bob') or not (username='0
那么您的服務(wù)可能會返回所有記錄,而不只是特定用戶的記錄。
拒絕服務(wù)
拒絕服務(wù)攻擊的目的不在于闖入一個站點,或更改其數(shù)據(jù),而在于使站點無法服務(wù)于合法的請求。紅色代碼蠕蟲病毒不僅感染計算機,并繼而尋找并感染其他計算機,而且,還使得被感染的計算機向官方的白宮 web 站點發(fā)送大量的數(shù)據(jù)包。因為數(shù)千臺計算機被感染,所以發(fā)往白宮 web 站點的請求的數(shù)目極高。因為紅色代碼蠕蟲病毒會導(dǎo)致從大量計算機發(fā)出請求,所以被視作“分布式拒絕服務(wù)攻擊”。由于涉及到如此眾多的計算機,因此這種攻擊極難限制。 拒絕服務(wù)請求可能有多種形式,因為可以通過多種級別發(fā)送偽請求,以攻擊您的系統(tǒng)。例如,您的站點可能允許用戶 ping 您的 ip 地址,從而使 icmp 消息被發(fā)送到您的服務(wù)器,然后又被返回。這是一種排除連接故障的有效方法。但是,如果數(shù)百臺計算機同時向您的服務(wù)器發(fā)送數(shù)千個數(shù)據(jù)包,您會發(fā)現(xiàn)您的計算機忙于處理 ping 請求,而無法獲得 cpu 時間來處理其他正常的請求。 級別稍高的是 syn 攻擊,這種攻擊需要編寫一個低級網(wǎng)絡(luò)程序,所發(fā)送的數(shù)據(jù)包看起來有如 tcp 連接握手中的第一個數(shù)據(jù)包(syn 包)。這種攻擊比 ping 請求攻擊危害更大,因為對于 ping 請求,您可以在必要時將其忽略,但對于 syn 攻擊,只要有應(yīng)用程序在偵聽 tcp 端口(如 web 服務(wù)器),則無論您何時收到看似有效的連接請求,都需要花費資源。 最高級別的拒絕服務(wù)攻擊可以呈現(xiàn)一種向 xml web service 發(fā)送多個基本有效的 soap 請求的形式,這種請求將導(dǎo)致數(shù)據(jù)庫開始查找操作。數(shù)據(jù)庫查找可能需要花費一段很長的時間。因此,如果每秒鐘向服務(wù)器發(fā)送數(shù)千個這樣的請求,會使得接收請求的 web 服務(wù)器和后端數(shù)據(jù)庫服務(wù)器變得非常忙。而且,這也會使您的服務(wù)無法及時處理其他請求。 如果您的計算機上有包含錯誤的代碼,那么拒絕服務(wù)攻擊會更加容易。例如,如果投入使用的 web service 有這樣一個錯誤:當(dāng)出現(xiàn)某個特定類型的錯誤時,會顯示一個消息框,黑客可以利用這一缺陷向您的計算機發(fā)送數(shù)目相對較少的請求,使該消息框顯示出來。這會鎖定所有的線程處理請求,因此有效地阻止了其他人訪問您的服務(wù)。
