Sistemas Biologicos
Ricardo Seguel P. rseguel@neosecure.cl
Mayo de 2005.
Resumen
La creciente tendencia de las organizaciones a escala mundial de proveer Web Services para
aumentar su capacidad de interacción con los usuarios y principalmente con otras organizaciones
en un modelo de integración de aplicaciones y servicios (SOA, Service Oriented Architecture), y los
riesgos a laseguridad de la información derivados de esta tendencia son un nuevo desafío para
desarrollar nuevos modelos de evaluación de la seguridad en una organización y la consecuente
mitigación de sus vulnerabilidades. Este informe muestra el escenario actual de las amenazas a la
seguridad de los Web Services y recomienda un modelo y acciones preventivas para disminuir el
riesgo de una organización quedesee implementar Web Services, que está desarrollando o ya los
tiene en producción.
(Universal
Introducción
Description
and
Discovery
Interface).
La definición de Web Service de la W3C
La Figura 1 muestra el esquema de relación
(WWW Consortium) [1] es: “Un Web Service
de las tres tecnologías que conforman un
es un sistema de software interoperable
Web Service:SOAP, WSDL y UDDI. Para
diseñado para dar apoyo a la interacción
que un Web Service funcione como tal, se
máquina a máquina sobre una red”.
Esta
necesita la interacción de dos entes, un
interacción se realiza por medio de mensajes
consumidor y un proveedor del servicio. El
SOAP
Protocol)
proveedor pone a disposición un servicio
transportados a través del protocoloHTTP
describiéndolo por medio del estándar WSDL
mediante una serialización XML en conjunto
y almacenando su descripción en un registro
con otros estándares Web. Un Web Service
UDDI.
es descrito utilizando el estándar WSDL
UDDI buscando el servicio que desea
(Web
obteniendo la descripción WSDL con el cual
(Simple
Service
almacenado
Object
Access
Descriptionen
un
Language)
repositorio
y
UDDI
puede
El consumidor consulta el registro
construir
los
mensajes
SOAP
apropiados enviándolos a través de una
1
conexión HTTP(S) para comunicarse con el
el consumidor y el proveedor del servicio. De
servicio.
la Figura 1 se puede observar lo siguiente:
El estándar WSDL provee múltiples formas
El proveedordebe describir el servicio
para interactuar con un servicio, por ejemplo,
utilizando el estándar WSDL dando los
un mismo servicio podría ser descrito para
detalles de cómo comunicarse con él. Esta
estar disponible por medio de mensajes
descripción
SOAP enviados a través de HTTP(S) en un
información a un consumidor malicioso para
servidor y por medio de mensajes RMI/IIOPreunir antecedentes fácilmente al consultar el
enviados a través de TCP/IP a otro servidor.
registro UDDI.
Sin perjuicio de lo anterior, en la Figura 1 se
Lo anterior da una ventaja al consumidor
describe el caso en el cual se utilizan
malicioso de Web Services por sobre un
mensajes SOAP enviados por medio de
usuario malicioso de Aplicaciones Web ya
HTTP(S) ya querepresenta un modo de
que para este último es menos fácil saber
acceso abierto y ubicuo a un servicio a través
qué tipo de parámetros espera la aplicación y
de Internet, y es en éste escenario en donde
qué
la seguridad de los Web Services se ve
(browser) para ser desplegadas al usuario.
da
bastante
contenido
devolverá
y
al
preciada
navegador
disminuida.Por otra parte, podemos descubrir otras
debilidades al realizar un paralelo entre las
Aplicaciones Web y Web Services ya que
comparten características similares:
•
Los Web Services pertenecen a la capa
de Aplicación del modelo OSI al igual
que las Aplicaciones Web.
Las organizaciones se han preocupado
de mitigar las vulnerabilidades de las
Figura 1: Relación entre WSDL, UDDI y...
Regístrate para leer el documento completo.