Evaluación de seguridad de los servicios Web

Obtenga una completa evaluación de la infraestructura de los servicios Web

Próximos pasos:

Visión general

Los servicios Web han revolucionado el desarrollo de aplicaciones y la manera en que funcionan las organizaciones de TI, de manera bastante similar a como sucedió en el pasado con las aplicaciones cliente-servidor y las aplicaciones basadas en la Web. Ofrecen a las empresas una manera nueva y estandarizada de integrar aplicaciones y sistemas diferentes entre proveedores, socios y clientes. Con Web 2.0, los servicios Web se han convertido en algo habitual ha medida que tecnologías como AJAX y JSON adquieren fuerza.

Al igual que con cualquier otro tipo de aplicación, la seguridad es una de las principales preocupaciones que afecta a los servicios Web. La infraestructura de la seguridad de red tradicional existente no es adecuada para satisfacer las necesidades de seguridad que requieren los servicios XML y Web. Foundstone ofrece una completa Evaluación de seguridad de los servicios Web para identificar las amenazas, vulnerabilidades y riesgos asociados con la infraestructura de servicios Web de su organización.

Cada cliente y servicio Web posee requisitos únicos con respecto a la seguridad de la red que se basan en las necesidades de su negocio y en el entorno operativo. El proceso comienza con la identificación y documentación sistemática de las necesidades de seguridad. A continuación, se realiza el modelado de las amenazas, que permite reconocer y asignar prioridades a las posibles amenazas. Luego, evaluamos los aspectos de seguridad del diseño y la implementación, incluyendo la confidencialidad, integridad, relaciones de confianza y autenticación usando estándares de seguridad como firmas XML, encriptación XML, SAML y WS-Security.

Beneficios clave

  • Detecte vulnerabilidades en los servicios Web de producción antes que los piratas informáticos
  • Lleve a cabo un control de calidad de la seguridad a medida que las aplicaciones pasan a producción
  • Conozca los riesgos y el posible impacto que las amenazas pueden causar en su negocio
  • Básese en una metodología de pruebas manuales detallada y bien establecida que brinda precisión y eficacia
  • Obtenga una transferencia de conocimientos segura sobre técnicas de pruebas, problemas y soluciones
  • Comprenda cómo las contramedidas tradicionales podrían no ser efectivas en los servicios Web como lo son en el caso de las aplicaciones Web

Metodología

La metodología busca ataques basados en contenido XML, ataques a servicios Web de próxima generación y amenazas de la infraestructura de aplicaciones como inyección SQL y denegación de servicio (DoS). Las ofertas de seguridad para servicios Web incluyen:

  • Modelado de amenazas
  • Evaluaciones de caja negra
  • Evaluaciones de caja blanca
  • Revisiones perimetrales del producto (firewalls XML)
  • Revisiones de arquitectura

Amenazas de los servicios Web:

  • Ataques de contenido XML
    • Análisis coercitivo
    • Entidad externa
    • Alteración de parámetros
    • XPath y XQuery
    • Carga recursiva
    • Carga de gran tamaño
  • Ataques de servicios Web
    • Detección WSDL
    • Envenenamiento de esquema
  • Ataques de la infraestructura
    • Enumeración de información
    • Autenticación y autorización
    • Validación de entrada (SQL/XSS)
    • Manejo de errores
    • Capa de servidor Web/red