Valutazione della sicurezza dei servizi web

Valutazione completa dell'infrastruttura dei servizi web

Overview

I servizi web hanno rivoluzionato lo sviluppo delle applicazioni e il modo di operare delle aziende IT, proprio come è accaduto in passato con le applicazioni web o di tipo client-server. Questi servizi offrono alle aziende un nuovo metodo standard di integrazione delle applicazioni e dei sistemi diversi tra fornitori, partner e clienti. Con Web 2.0, i servizi web sono ormai di uso comune e le tecnologie come AJAX e JSON sono sempre più popolari.

La sicurezza è un tema importante per i servizi web come per qualsiasi altro tipo di applicazione. L'infrastruttura della sicurezza di rete tradizionale non è adatta a soddisfare le esigenze di sicurezza poste dai servizi XML e web. Foundstone offre una valutazione della sicurezza dei servizi web completa per identificare le minacce, le vulnerabilità e i rischi associati con l'infrastruttura dei servizi web aziendali.

Ciascun cliente e servizio web presenta requisiti di rete unici, in base alle esigenze aziendali e all'ambiente operativo. Il processo inizia identificando e documentando sistematicamente le esigenze di sicurezza. Successivamente, viene eseguita la modellazione delle minacce per riconoscere e assegnare delle priorità alle potenziali minacce. A questo punto valutiamo gli aspetti della sicurezza correlati alla progettazione e all'implementazione, inclusi la riservatezza, l'integrità, le relazioni di fiducia e l'autenticazione, secondo gli standard di sicurezza come le firme XML, la crittografia XML, SAML e WS-Security.

Vantaggi principali

  • Individuazione delle vulnerabilità nei servizi web in produzione prima degli hacker.
  • Verifica della qualità della sicurezza quando le applicazioni passano in produzione.
  • Comprensione dei rischi e del potenziale impatto sull'azienda.
  • Implementazione di una metodologia di test manuale dettagliata e comprovata per garantire l'accuratezza e l'efficacia.
  • Trasferimento sicuro delle conoscenze sulle tecniche di test, le problematiche e le azioni di rimedio.
  • Individuazione di quanto le contromisure tradizionali potrebbero non essere efficaci per i servizi web, rispetto alle applicazioni web.

Methodology

La metodologia cerca gli attacchi basati sul contenuto XML, gli attacchi ai servizi web di ultima generazione e le minacce per l'infrastruttura applicativa come le tecniche di SQL injection e denial of service (DoS). L'offerta per la sicurezza dei servizi web include:

  • Modellazione delle minacce
  • Valutazioni di tipo Black-box
  • Valutazioni di tipo White-box
  • Analisi dei prodotti del perimetro (firewall XML)
  • Analisi dell'architettura

Minacce dei servizi web:

  • Attacchi al contenuto XML
    • Parsing coercitivo
    • Entità esterne
    • Manomissione dei parametri
    • XPath e XQuery
    • Payload ricorrente
    • Payload troppo grandi
  • Attacchi ai servizi web
    • Scansione WSDL
    • Manipolazione degli schemi
  • Attacchi all'infrastruttura
    • Enumerazione delle informazioni
    • Autenticazione e autorizzazione
    • Convalida degli input (SQL/XSS)
    • Gestione degli errori
    • Server web/rete

Resources

White paper

Foundstone Hacme Bank v2.0 Software Security Training Application (English)

Hacme Bank teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated online banking system.

Foundstone Hacme Books v2.0 Strategic Secure Software Training Application (English)

This user guide provides an overview of Foundstone Hacme Books, a learning platform for secure software development.

Foundstone Hacme Casino v1.0 Strategic Secure Software Training Application (English)

This user guide introduces Hacme Casino, a learning platform for secure software development.

Foundstone Hacme Shipping v1.0 Software Security Training Application (English)

This white paper provides an overview of Foundstone Hacme Shipping a learning platform for secure software development.

Foundstone Hacme Travel Software Security Training Application (English)

Hacme Travel teaches application developers, programmers, software architects, and security professionals how to create secure software by attempting to exploit vulnerabilities and implement remediations in a simulated travel reservation system.

Mobile Application Security Testing (English)

This white paper documents a step-by-step methodology for testing mobile application security.

Proof of Concept: A New Data Validation Technique for Microsoft ASP NET Web Applications (English)

This white paper examines Validator.net, a McAfee Foundstone data validation tool for ASP.NET developers.

Secure Application Development with Ajax (English)

A presentation on Ajax Security from the rich web experience.

Securely Registering Applications (English)

This white paper examines insecure registration vulnerabilities among applications, detailing the impact of this threat and how it is exploited by hackers.

Socket Hijacking (English)

This white paper looks at socket hijacking on Windows systems, the impact of the vulnerability, and how it is exploited.

Writing Effective Policies Part I: Dissecting an Email Use Policy (English)

This white paper details the characteristics of an effective information security policy.