Web Services Security Assessment

Someta a una evaluación exhaustiva su infraestructura de servicios web

Overview

Los servicios web han revolucionado el desarrollo de aplicaciones y el funcionamiento de las organizaciones de TI, prácticamente al igual que años atrás lo hicieron las aplicaciones cliente-servidor y basadas en la Web. Estos servicios ofrecen a las empresas una nueva forma estandarizada de integrar diferentes aplicaciones y sistemas entre proveedores, socios y clientes. Con Web 2.0, los servicios web se han convertido en habituales a medidas que tecnologías como AJAX y JSON han ido ganando terreno.

La seguridad es una cuestión importante que afecta a los servicios web al igual que a las aplicaciones de otro tipo. La infraestructura de seguridad de la red tradicional actual no resulta adecuada para satisfacer las necesidades de seguridad que exigen los servicios web y XML. El servicio de evaluación integral Web Services Security Assessment de Foundstone permite identificar las amenazas, vulnerabilidades y riesgos asociados a la infraestructura de los servicios web de su empresa.

Cada cliente y servicio web debe atender a unos requisitos particulares de seguridad de la red, que varían en función de las necesidades empresariales y el entorno operativo. El proceso empieza por identificar y documentar de manera sistemática las necesidades de seguridad. A continuación, se lleva a cabo un modelado de amenazas para reconocer y priorizar las posibles amenazas. Por último, evaluamos los aspectos de seguridad que tienen que ver con el diseño y la ejecución, como la confidencialidad, la integridad de los datos, las relaciones de confianza y la autenticación mediante estándares de seguridad como las firmas XML, el cifrado XML, SAML o WS-Security.

Principales ventajas

  • Le permitirá detectar las brechas de seguridad en sus servicios web antes de que lo hagan los hackers
  • Contará con la certeza de que sus aplicaciones están bien protegidas a medida que empiezan a distribuirse
  • Conocerá los riesgos y el posible impacto en su empresa
  • Contará con la confianza que ofrece una metodología de pruebas manual precisa y bien consolidada, de mayor precisión y eficacia
  • Disfrutará de una transferencia activa de conocimientos sobre técnicas de evaluación, detección de problemas y corrección
  • Entenderá cómo es posible que las medidas correctivas tradicionales puedan carecer de eficacia en el ámbito de los servicios web, a diferencia de lo que ocurre con las aplicaciones web

Methodology

La metodología detecta las vulnerabilidades ante ataques basados en contenidos XML, ataques a los servicios web de nueva generación y amenazas a la infraestructura de aplicaciones, como la inyección de SQL y la denegación de servicio (DoS, por su siglas en inglés). Los productos de seguridad para servicios web incluyen:

  • Modelado de amenazas
  • Pruebas de "caja negra"
  • Pruebas de "caja blanca"
  • Revisión de los productos perimetrales (firewalls XML)
  • Revisión de la arquitectura

Amenazas para los servicios web:

  • Ataques basados en contenidos XML
    • Coercive parsing (contenido XML destinado a consumir gran cantidad de recursos)
    • Entidades externas
    • Manipulación de parámetros
    • XPath y XQuery
    • Ataques por recursividad
    • Ataques por sobrecarga
  • Ataques a los servicios web
    • Análisis de WSDL
    • Esquemas XML corruptos
  • Ataques a la infraestructura
    • Enumeración de información
    • Autentificación y autorización
    • Validación de datos entrantes (SQL/XSS)
    • Gestión de errores
    • Capa del servidor web/red