O documento descreve uma investigação sobre ataques em web services. Ele lista os principais tipos de ataques, como negação de serviço, força bruta, spoofing e flooding. Também discute métodos como WebScarab e WebGoat para testar vulnerabilidades e apresentar contramedidas.
O documento descreve uma investigação sobre ataques em web services. Ele lista os principais tipos de ataques, como negação de serviço, força bruta, spoofing e flooding. Também discute métodos como WebScarab e WebGoat para testar vulnerabilidades e apresentar contramedidas.
O documento descreve uma investigação sobre ataques em web services. Ele lista os principais tipos de ataques, como negação de serviço, força bruta, spoofing e flooding. Também discute métodos como WebScarab e WebGoat para testar vulnerabilidades e apresentar contramedidas.
Fabio F. de L. Pereira, Douglas Rodrigues, alin!a R. L. ". #. $ranco
%.&b'etivos Web Service a arquitetura orientada a servio mais utilizado no momento, por proporcionar uma caracterstica fundamental, a capacidade de um sistema se comunicar de forma clara com outro sistema. Estudos mostram que um grande nmero de servios web so criados com o uso incorreto de padr!es de segurana e protocolos. " ob#etivo desse pro#eto consiste em efetuar um estudo no intuito de analisar as vulnerabilidades, listando os principais tipos de ataques e classificando$os de acordo com a frequ%ncia de uso, para assim criar uma ferramenta de deteco de ataques. (.)*todos+Procedimentos &oi feito um levantamento bibliogr'fico e uma reviso sistem'tica ob#etivando o levantamento dos ataques mais freq(entes aos servios web. )om ob#etivo de analisar os ataques mais freq(entes sero utilizadas duas ferramentas* WebScarab + uma ferramenta escrita em ,ava, para ser utilizada em testes de segurana de web services cu#a principal funcionalidade atuar como proxy entre o navegador e o servidor web. Essa caracterstica permite interceptar requisi!es e respostas de modo a alter'$las- e WebGoat + uma aplicao web insegura criada com o prop.sito de ensinar conceitos de segurana web e invaso. ,.Resultados E/istem muitos tipos de ataques 0 segurana em 1ecnologia da 2nformao 3124 'rea. Em aplica!es S"5, pode$se encontrar os mesmos tipos de ataque encontrado na 'rea de 12, no entanto, e/istem alguns ataques especficos que e/ploram vulnerabilidades nos protocolos. 5 maioria dos trabal6os em deteco de intruso aborda os aspectos de segurana dos servios na camada de rede, uma vez que a integridade desta camada vital para a continuidade das opera!es. 7o entanto, os ataques no nvel do aplicativo esto gan6ando grande relev8ncia, principalmente com a popularidade dos sistemas Web-based. &oram levantados nesse sentido os principais ataques a esse tipo de sistemas, classificados e agrupados segundo caractersticas inerentes aos ataques. "s ataques foram agrupados e as contramedidas apresentadas. )omo atividade em desenvolvimento destaca$se a utilizao das ferramentas para apresentao dos ataques e das contramedidas utilizadas. 5s principais vulnerabilidades* podem ser classificadas como* 5taques de negao de servio 3Oversize Payload, Coercive Parsing, Oversize Cryptography, Attack Obfuscation, nvalidated !edirects and "orwards4# 5taques de &ora 9ruta 3$nsecure Cryptographic %torage, &roken Authentication and %ession 'anage(ent4- %poofing Attacks 3%OAPAction, W%)* %canning, $nsufficient +ransport *ayer Protection, W%-%poofing, Workflow ,ngine -i.acking, 'etadata %poofing, %ecurity (isconfiguration4- "looding and $n.ection Attacks 3$nstantiation "lood, $ndirect "looding, &P,* %tate )eviation, /'* $n.ection, %0* $n.ection, Cross site %cripting 1/%%2, Cross %ite !e3uest "orgery4. -.#oncluses :sando os atuais especifica!es de segurana para Web Service indevidamente pode$se degradar mais o sistema S"5, em questo de segurana e desempen6o. ;ara tratar as vulnerabilidades de Web Service, necess'rio combinar tcnicas que esto estabelecidas em protocolos de rede e de aplicao, e tambm especificar mecanismos como WS Securit<, =>? Encr<ption entre outros. Re.er/ncias $ibliogr0.icas @,ensen et at, ABBCD >. ,ensen, 7. ErusFa, G. HerFen6oner, 7. ?uttenberger, IS"5 and Web Services* 7ew 1ec6nologies, 7ew Standards$ 7ew 5ttacFsI. )6ristian$5lbrec6ts$:niversit< of Jeil, Eerman< ABBC.