Служба новостей IDG, Сан-Франциско
Активно внедряя Web-сервисы, некоторые предприятия могут подвергнуть себя новому риску, суть которого они не вполне себе представляют. На это на конференции CanSecWest/core06 указал авторитетный специалист по защите Алекс Стамос, старший партнер компании Information Security Partners.
Во время своего выступления Стамос рассказал о том, как некоторые технологии Web-сервисов, в том числе AJAX (Asynchronous JavaScript and XML) и язык запросов XQuery, могут позволить хакерам получить секретную информацию и атаковать корпоративные системы.
Одна из главных особенностей этого подхода заключается в том, что приложения Web-сервисов переносимы и их отличает простота установки взаимодействия с различными видами ПО. Это упрощает программирование, но может увеличить риск нарушения защиты за счет создания ситуаций, не предполагавшихся разработчиками программ. Стамос описал атаку, при которой пользователь может внести вредоносный код в Web-форму, и задать условием запуска ввод идентификационного сервисного номера компании. Таким образом сотрудник компании, используя сервис, запускает вредоносный код, даже не подозревая об этом. Стамос также продемонстрировал, как запросы на Web-сервисы можно использовать для организации DoS-атаки, либо путем создания вредоносных XML-запросов, которые захватывают избыточные объемы памяти, либо за счет передачи к приложениям баз данных большего числа запросов, чем те способны обработать.
Производители Web-приложений создали «магические» инструментальные средства, которые скрывают сложность и позволяют очень легко создавать Web-сервисы. К сожалению, как считает Стамос, эти инструменты дают пользователям возможность столь же легко игнорировать вопросы защиты создаваемых ими программ. «Из-за всего этого волшебного тумана разработчики, создающие Web-сервисы, не всегда понимают, как эти сервисы работают», — заметил он. И хакеры этим пользуются. В марте, например, компания Symantec опубликовала очередной отчет Internet Security Threat, в котором отмечается, что Web-приложения представляют все больший интерес для хакеров. По данным этого отчета, из всех обнаруженных с июля по декабрь 2005 года уязвимых мест защиты, почти 70% были связаны с Web-приложениями.
Эта тенденция особенно опасна для небольших компаний, не имеющих достаточных средств для полного тестирования защиты своего программного обеспечения. Однако Стамос уверен, что производители Web-приложений могут выйти из затруднительного положения, добавив к своим продуктам функции фильтрации входной информации, благодаря чему они смогут оперативно сообщать, когда их программное обеспечение просят сделать то, чего оно делать не должно.
Специалисты по вопросам защиты также должны уделять более пристальное внимание этому вопросу. «Было бы здорово, если бы специалисты более тщательно анализировали приложения, связанные с Web-сервисами», — подчеркнул Стамос.