웹 서비스 보안 평가

포괄적인 웹 서비스 인프라 평가를 제공합니다.

다음 단계:

Overview

클라이언트-서버 및 웹 기반 응용 프로그램이 과거에 그랬던 것과 같이, 웹 서비스 분야가 응용 프로그램 개발 및 IT 조직 운영 방식을 혁신했습니다. 웹 서비스는 공급자, 파트너 및 고객 간의 여러 응용 프로그램과 시스템을 통합하는 새롭고 표준화된 방식을 제공합니다. Web 2.0을 통해 웹 서비스는 AJAX 및 JSON 게인 트랙션 기술과 같은 일반적인 기술이 되었습니다.

이러한 웹 서비스에 영향을 미치는 주요 관심사는 다른 응용 프로그램 유형에서와 마찬가지로 보입니다. 기존의 전통적 네트워크 보안 인프라는 XML 및 웹 서비스에 필요한 보안을 충족하기에 적합하지 않습니다. Foundstone은 포괄적인 웹 서비스 보안 평가를 제공하여 기업의 웹 서비스 인프라와 연관된 위협, 취약성 및 위험을 파악합니다.

모든 고객 및 웹 서비스에는 비즈니스 요건과 운영 환경을 기반으로 한 고유의 네트워크 보안 요구사항이 있습니다. 프로세스는 보안 요건을 체계적으로 파악하고 문서화하는 것부터 시작합니다. 그런 다음 위협 모델링을 수행하여 잠재적 위협을 인식하고 우선순위를 정합니다. 그리고 XML 서명, XML 암호화, SAML 및 WS-Security와 같은 보안 표준을 사용하여 기밀성, 무결성, 신뢰 관계 및 인증을 포함하여 설계 및 구현의 보안 측면을 평가합니다.

주요 장점

  • 해커보다 먼저 운영 웹 서비스의 허점을 찾아냅니다
  • 응용 프로그램을 실제 사용하기 전에 보안 품질 보증을 수행합니다
  • 기업에 대한 잠재적 영향과 위험을 파악합니다
  • 정확도와 효율성을 위해 상세하고 잘 구축된 수동 테스트 방법론을 사용합니다
  • 테스트 기술, 문제 및 치료에 대한 지식을 전달합니다
  • 전통적 대책이 웹 응용 프로그램에 비해 웹 서비스에는 효과적이지 않은 이유를 이해합니다

Methodology

방법론은 XML 컨텐츠 기반 공격, 차세대 웹 서비스 공격 및 SQL 주입이나 서비스 거부(DoS)와 같은 응용 프로그램 인프라 위협을 찾아냅니다. 웹 서비스 보안 서비스에는 다음이 포함됩니다.

  • 위협 모델링
  • 블랙 박스 평가
  • 화이트 박스 평가
  • 경계 제품 검토(XML 방화벽)
  • 아키텍처 검토

웹 서비스 위협:

  • XML 컨텐츠 공격
    • 강제 구문 분석
    • 외부 객체
    • 매개변수 조작
    • XPath 및 XQuery
    • 반복 페이로드
    • 오버사이즈 페이로드
  • 웹 서비스 공격
    • WSDL 스캐닝
    • 스키마 포지셔닝
  • 인프라 공격
    • 정보 열거
    • 인증 및 권한 부여
    • 입력 검증(SQL/XSS)
    • 오류 처리
    • 웹 서버/네트워크 계층