Web Services Security Assessment

Erhalten Sie eine umfassende Bewertung Ihrer Web-Dienst-Infrastruktur

Nächste Schritte:

Overview

Web-Dienste haben die Anwendungsentwicklung und die Arbeitsweise von IT-Unternehmen in ähnlicher Weise revolutioniert wie zuvor Client-Server- und Web-basierte Anwendungen. Sie bieten Unternehmen eine neue, standardisierte Methode zur Integration verschiedenartiger Anwendungen und Systeme zwischen Lieferanten, Partnern und Kunden. Mit Web 2.0 sind Web-Dienste alltäglich geworden, zugleich gewinnen Technologien wie AJAX und JSON an Zugkraft.

Sicherheit ist ein wichtiges Anliegen, das Web-Dienste ebenso wie jede andere Anwendungsart betrifft. Die vorhandene, herkömmliche Netzwerksicherheits-Infrastruktur kann die Sicherheitsanforderungen von XML- und Web-Diensten nur unzureichend erfüllen. Foundstone bietet mit Web Services Security Assessment eine umfassende Bewertung der Sicherheit von Web-Diensten an, um Bedrohungen, Schwachstellen und Risiken in der Web-Dienst-Infrastruktur Ihres Unternehmens zu ermitteln.

Jeder Kunde und Web-Dienst hat auf der Basis seiner geschäftlichen Erfordernisse und betrieblichen Umgebung besondere Anforderungen an die Netzwerksicherheit. Der Prozess beginnt mit einer systematischen Bestimmung und Dokumentation der Sicherheitsanforderungen. Als nächstes wird eine Modellierung von Bedrohungen (Threat Modelling) durchgeführt, mit der sich mögliche Bedrohungen erkennen und priorisieren lassen. Anschließend bewerten wir die Sicherheitsaspekte von Design und Implementierung. Hierzu zählen Geheimhaltung, Integrität, Vertrauensverhältnisse und Authentifizierung mithilfe von Standards wie XML-Signaturen, XML-Verschlüsselung, SAML und WS-Security.

Wichtige Vorteile

  • Finden Sie vor den Hackern Lücken in produktiven Web-Diensten
  • Führen Sie eine Qualitätssicherung der Sicherheit durch, wenn Anwendungen in Produktion gehen
  • Erkennen Sie Risiken und ihre möglichen Auswirkungen auf Ihr Unternehmen
  • Verlassen Sie sich auf die Genauigkeit und Wirksamkeit einer ausführlichen, bestens eingeführten manuellen Testmethodik
  • Stellen Sie den Wissenstransfer zu Testmethoden, Problemen und deren Lösung sicher
  • Verstehen Sie, weshalb herkömmliche Gegenmaßnahmen unter Umständen bei Web-Diensten anders als bei Web-Anwendungen unwirksam sind

Methodology

Die Methoden dienen zur Suche nach Angriffen auf der Basis von XML-Inhalten, Web-Dienst-Angriffen der neuen Generation und Bedrohungen für die Anwendungsinfrastruktur wie Einschleusung von SQL-Code und Denial of Service (DoS). Das Angebot für die Sicherheit von Web-Diensten umfasst:

  • Threat Modeling (Modellierung von Bedrohungen)
  • Black-Box-Bewertungen
  • White-Box-Bewertungen
  • Überprüfung von Perimeter-Produkten (XML-Firewalls)
  • Architektur-Überprüfungen

Bedrohungen für die Web-Dienste:

  • XML-Inhalt-Angriffe
    • Coercive Parsing
    • External Entity
    • Parameter-Manipulation
    • XPath und XQuery
    • Recursive Payload
    • Oversized Payload
  • Web-Dienste-Angriffe
    • WSDL-Scanning
    • Schema Poisoning
  • Infrastruktur-Angriffe
    • Information Enumeration
    • Authentifizierung und Autorisierung
    • Eingabevalidierung (SQL/XSS)
    • Fehlerbehandlung
    • Web-Server/Netzwerkschicht