Professional Documents
Culture Documents
Resumen
La creciente tendencia de las organizaciones a escala mundial de proveer Web Services para
aumentar su capacidad de interaccin con los usuarios y principalmente con otras organizaciones
en un modelo de integracin de aplicaciones y servicios (SOA, Service Oriented Architecture), y los
riesgos a la seguridad de la informacin derivados de esta tendencia son un nuevo desafo para
desarrollar nuevos modelos de evaluacin de la seguridad en una organizacin y la consecuente
mitigacin de sus vulnerabilidades. Este informe muestra el escenario actual de las amenazas a la
seguridad de los Web Services y recomienda un modelo y acciones preventivas para disminuir el
riesgo de una organizacin que desee implementar Web Services, que est desarrollando o ya los
tiene en produccin.
(Universal
Introduccin
Description
and
Discovery
Interface).
La definicin de Web Service de la W3C
Esta
SOAP
Protocol)
UDDI.
(Web
(Simple
Service
almacenado
Object
Access
Description
en
un
Language)
repositorio
UDDI
puede
construir
los
mensajes
SOAP
servicio.
descripcin
registro UDDI.
qu
da
bastante
contenido
devolver
al
preciada
navegador
disminuida.
Por otra parte, podemos descubrir otras
debilidades al realizar un paralelo entre las
Aplicaciones Web y Web Services ya que
comparten caractersticas similares:
desprotegida
la
capa donde
una
tecnologa
que
permite
transacciones
entre
empresas
(B2B,
intermediarios
bastante
un
atractivo
mayor
para
no
provee
no-
repudiacin .
econmico
un
usuario
Web
a la red.
generalmente
transacciones
con
se
realizan
personas
(B2C
Debido a la diversidad de
la
to Consumer).
Telfono,
actualidad
Wi-Fi,
(PDAs,
Notebooks,
Bluetooth)
la
exposicin
de
la
organizacin
proveer
Por lo
servicios
que
realicen
El diseo en tres
utilizan
conexin
de
las
Estos
Red
los
de
organizaciones
puertos
la
de
mayora
(Figura
de
3).
la
comunicacin
mientras
los
datos
se
realiza
utilizando
estndares
inesperados
de
un
La interaccin de un usuario
I.
Vulnerabilidades estructurales
II.
Vulnerabilidades semnticas
I.
Vulnerabilidades estructurales
Las
vulnerabilidades
aquellas
que
estructurales
pueden
ser
son
atacadas
Vulnerabilidades y ataques
Alteracin
de
mensajes:
La
aparecen
una
serie
de
la
seguridad
de
la
Informacin:
vulnerabilidades
actualmente
Mensajes
Falsificados:
Se
4. Repeticin de mensajes
servidor.
destino.
Spoofing
del servidor:
Es una
informacin
confidencial
para
eventuales
impersona al servidor.
5. Denegacin de Servicio
autorizada.
de
otros
mensajes
para
ganar
alguna accin.
Las
2. Man-in-the-middle
Vulnerabilidades semnticas
vulnerabilidades
semnticas
son
ser
mensajes SOAP.
Los
mensajes
SOAP
pueden
la clave de sesin.
envindoles
mensajes
impersonando
comunicacin
para
autorizada.
de
mensajes
SOAP
1. Entradas invlidas
mensaje
debidamente
no autorizada.
SOAP
no
son
obtener
informacin
de
sesiones
de
5. Buffer Overflows
acceda
de
obtener
al
servicio
consumidores
con
vlidos
permisos
para
del
procesos de sistema.
Una
poltica
dbil
de
contraseas
6. Injection Flaws
es
del
claves.
sentencias
utilizar
la
mejor
la
autorizados
debido
identidad
para
debilidades
de
consumidores
obtener
informacin o
servicio.
SQL
El
utilizando
atacante
caracteres
debe
tener
un
servicio.
las
sentencias
comandos
condiciones
Service.
ii.
de
error
de un Web
8. Contenido Malicioso
cuyo
datos
binarios
(imgenes, audio,
video,
ser
enviados
como
parmetro
de
(payload)
es
lnea.
cuerpo
iv.
un
para
entradas
XML
que
procesadas
(interpretadas)
por
son
el
Si una de
conexiones
difciles
de
mitigar
debido
que
las
v.
TCP
provocando
una
i.
computacionales en el servidor.
Por
vi.
tecnolgicas
Security)
consideraciones:
para
vii.
que
no
responda
los
ms
para
grandes
tratar
del
las
podran
definicin
contratos
responsabilidades.
siguientes
mundo.
de
necesitar
la
legales
apropiadamente.
proveedor.
deberan
ser
protegidos
de
los
Web
Services
una
Un atacante
segura.
enumerados.
plataformas tecnolgicas.
WS-I
organizacin es primordial.
de
(Web
Organization)
Services
[4]
es
una
Interoperability
organizacin
Services
deberan
cumplir
los
requerimientos
de
siguientes:
Services
partes.
mensajes.
instancias
de datos
en
datos de origen.
SAML
(Security
Assertion
Markup
datos:
mensaje SOAP.
segura.
Confidencialidad
de
los
XACML
(eXtensible
Access
Control
(XML
Key
Management
en
WS-Trust,
describe
un
modelo
XML
para
la
gestin
de
una
segura.
XKMS
Prevencin y Mitigacin
WS-SecureConversation,
define
un
manejar y
seguridad
SOAP
incluyendo
su
contexto
de
de
la
informacin
en
las
seguridad.
expuestos.
de seguridad.
WS-Privacy,
describe
la
sintaxis
considerar lo siguiente:
La
poltica
de
seguridad
de
la
La
evaluacin
de
riesgo
de
Services.
la
Informacin de la organizacin y su
aplicabilidad.
Si la organizacin
Definir
un
plan
de
continuidad
del
negocio.
otras organizaciones.
back-end.
Definir
controles
de
autenticacin
un servicio.
nivel
de
seguridad
organizacin.
deseado
por
la
tecnolgica de la organizacin.
produccin y en desarrollo.
la
organizacin
puede
tomar
medidas
10
siguientes medidas:
confidencial
realizar
operaciones
servicio.
un corto plazo.
Firewall
de
estadsticas
para
Estas dos
Aplicaciones
para
la
obtener
definicin
de
Services
es
creciente
los
desafos
medidas de riesgo.
plazo
de
ninguna
Referencias
forma
y de las an no conocidas.
Conclusin
Los Web Services permiten la comunicacin
entre plataformas heterogneas por medio
del protocolo HTTP(S) el cual es permitido
por la mayora de los Firewalls de red. Por
otra parte, para utilizar Web Services se debe
publicar
una
descripcin
completa
del
11
Sobre el Autor
Ricardo Seguel P. es Ingeniero de Seguridad
del rea de Seguridad de Aplicaciones de
Neosecure S.A. Esta rea ofrece servicios
de
ingeniera
empresas
que
consultora
quieran
aquellas
evaluar
sus
las
de
la
mejores
prcticas
informacin
para
de
sus
soluciones
de
seguridad
de
la
12