Avaliação de Segurança de Serviços da Web

Obtenha uma avaliação completa da infra-estrutura dos serviços da Web

Visão geral

Os serviços de Web revolucionaram o desenvolvimento de aplicativos e a maneira como as organizações de TI trabalham, da mesma maneira que os aplicativos cliente-servidor e de Web fizeram no passado. Eles oferecem às empresas uma maneira nova e padronizada de integrar aplicativos e sistemas diferentes entre fornecedores, parceiros e clientes. Com a Web 2.0, os serviços da Web se tornaram corriqueiros, à medida que tecnologias como AJAX e JSON ganharam impulso.

A segurança é uma das principais preocupações que afetam os serviços de Web, como qualquer outro tipo de aplicativo. A infra-estrutura tradicional de segurança de rede é insuficiente para atender as necessidades de segurança de XML e dos serviços de Web. A Foundstone oferece uma ampla Avaliação de Segurança de Serviços da Web para identificar ameaças, vulnerabilidades e riscos relacionados à infra-estrutura de serviços da Web da sua organização.

Cada cliente e serviço da Web tem necessidades específicas de segurança de rede, de acordo com suas necessidades de negócios e seu ambiente operacional. O processo começa identificando e documentando de forma sistemática as necessidades de segurança. Em seguida, a modelagem de ameaças é realizada para ajudar a reconhecer e ordenar por prioridade as ameaças potenciais. Em seguida, avaliamos os aspectos de segurança de projeto e implementação, entre eles o sigilo, a integridade, as relações de confiança e a autenticação, usando padrões de segurança tais como assinaturas XML, criptografia XML, SAML e WS-Security.

Principais Benefícios

  • Encontre falhas nos serviços de Web de produção antes dos hackers
  • Realize o controle de qualidade da segurança quando os aplicativos são colocados em produção
  • Entenda os riscos e o possível impacto sobre seus negócios
  • Conte com uma metodologia detalhada e tradicional de testes manuais de precisão e eficácia
  • Garanta a transferência de conhecimentos de técnicas de teste, problemas e correções
  • Entenda como as contramedidas tradicionais podem não ser eficazes nos serviços da Web da mesma maneira que são nos aplicativos da Web

Metodologia

A metodologia procura ataques à XML baseados em conteúdo, ataques de última geração aos serviços de Web, e ameaças à infra-estrutura de aplicativos, como injeção de SQL e de negação de serviço (DoS). As ofertas de segurança de serviços da Web incluem:

  • Modelagem de ameaças
  • Avaliações de "caixa preta"
  • Avaliações de "caixa branca"
  • Avaliações de produtos de perímetro (firewalls XML)
  • Avaliações de arquitetura

Ameaças aos Serviços da Web:

  • Ataques a conteúdos em XML
    • Análise coerciva
    • Entidade externa
    • Adulteração de parâmetros
    • XPath e XQuery
    • Carga recursiva
    • Carga superdimensionada
  • Ataques a serviços de Web
    • Varredura WSDL
    • Envenenamento de esquemas
  • Ataques à infra-estrutura
    • Enumeração de informações
    • Autenticação e autorização
    • Validação de entrada (SQL/XSS)
    • Tratamento de erros
    • Camada de servidor de Web/rede