Investigaes de Ataques em Web Services

Fabio F. de L. Pereira, Douglas Rodrigues, alin!a R. L. ". #. $ranco

%.&b'etivos
Web Service a arquitetura orientada a servio
mais utilizado no momento, por proporcionar
uma caracterstica fundamental, a capacidade
de um sistema se comunicar de forma clara
com outro sistema. Estudos mostram que um
grande nmero de servios web so criados
com o uso incorreto de padr!es de segurana e
protocolos.
" ob#etivo desse pro#eto consiste em efetuar
um estudo no intuito de analisar as
vulnerabilidades, listando os principais tipos de
ataques e classificando$os de acordo com a
frequ%ncia de uso, para assim criar uma
ferramenta de deteco de ataques.
(.)*todos+Procedimentos
&oi feito um levantamento bibliogr'fico e uma
reviso sistem'tica ob#etivando o levantamento
dos ataques mais freq(entes aos servios web.
)om ob#etivo de analisar os ataques mais
freq(entes sero utilizadas duas ferramentas*
WebScarab + uma ferramenta escrita em ,ava,
para ser utilizada em testes de segurana de
web services cu#a principal funcionalidade
atuar como proxy entre o navegador e o
servidor web. Essa caracterstica permite
interceptar requisi!es e respostas de modo a
alter'$las- e WebGoat + uma aplicao web
insegura criada com o prop.sito de ensinar
conceitos de segurana web e invaso.
,.Resultados
E/istem muitos tipos de ataques 0 segurana
em 1ecnologia da 2nformao 3124 'rea. Em
aplica!es S"5, pode$se encontrar os mesmos
tipos de ataque encontrado na 'rea de 12, no
entanto, e/istem alguns ataques especficos
que e/ploram vulnerabilidades nos protocolos.
5 maioria dos trabal6os em deteco de
intruso aborda os aspectos de segurana dos
servios na camada de rede, uma vez que a
integridade desta camada vital para a
continuidade das opera!es. 7o entanto, os
ataques no nvel do aplicativo esto gan6ando
grande relev8ncia, principalmente com a
popularidade dos sistemas Web-based. &oram
levantados nesse sentido os principais ataques
a esse tipo de sistemas, classificados e
agrupados segundo caractersticas inerentes
aos ataques. "s ataques foram agrupados e as
contramedidas apresentadas. )omo atividade
em desenvolvimento destaca$se a utilizao
das ferramentas para apresentao dos
ataques e das contramedidas utilizadas. 5s
principais vulnerabilidades* podem ser
classificadas como* 5taques de negao de
servio 3Oversize Payload, Coercive Parsing,
Oversize Cryptography, Attack Obfuscation,
nvalidated !edirects and "orwards4# 5taques
de &ora 9ruta 3$nsecure Cryptographic
%torage, &roken Authentication and %ession
'anage(ent4- %poofing Attacks 3%OAPAction,
W%)* %canning, $nsufficient +ransport *ayer
Protection, W%-%poofing, Workflow ,ngine
-i.acking, 'etadata %poofing, %ecurity
(isconfiguration4- "looding and $n.ection
Attacks 3$nstantiation "lood, $ndirect "looding,
&P,* %tate )eviation, /'* $n.ection, %0*
$n.ection, Cross site %cripting 1/%%2, Cross %ite
!e3uest "orgery4.
-.#oncluses
:sando os atuais especifica!es de segurana
para Web Service indevidamente pode$se
degradar mais o sistema S"5, em questo de
segurana e desempen6o. ;ara tratar as
vulnerabilidades de Web Service, necess'rio
combinar tcnicas que esto estabelecidas em
protocolos de rede e de aplicao, e tambm
especificar mecanismos como WS Securit<,
=>? Encr<ption entre outros.
Re.er/ncias $ibliogr0.icas
@,ensen et at, ABBCD >. ,ensen, 7. ErusFa, G.
HerFen6oner, 7. ?uttenberger, IS"5 and Web
Services* 7ew 1ec6nologies, 7ew Standards$
7ew 5ttacFsI. )6ristian$5lbrec6ts$:niversit< of
Jeil, Eerman< ABBC.