Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Web sitesi Güvenliği, DOS - DDOS Saldırıları... 
Web Servislerine Yapılan Saldırı Türleri Web Servislerine Yapılan Saldırı Türleri
-
WSDL Tarama
Bu saldırı, bir web servisi tarafından sunulan WSDL arayüzünü bulmayı sağlar. Saldırgan, web serivisi oluşturmak için kullanılan teknolojiyi tespit etmek ve ilgili güvenlik açıklarını bulmak için WSDL arayüzü taraması yapabilir. Genellikle bu tür saldırılar daha ciddi saldırılar gerçekleştirmek için örneğin; parametre kurcalama(paremeter tempering), zararlı içerik enjeksiyonu (malicious content injection), komut enjeksiyonu (command injection) vb. yapılmaktadır. WSDL dosyaları, tüketicilere sunulan hizmetlerin portları ve parametreleri hakkında ayrıntılı bilgi sağlar. Örneğin, saldırgan, özel karakterler veya kötü niyetli içerik göndererek serivisin hizmet dışı kalmasına yada önemli bilgilerin veritabanından çekilmesine neden olabilir. Buna ek olarak, saldırgan WSDL dosyalarında sağlanan bilgileri kullanarak diğer özel yöntemlerle aynı servis altında tanımlı gizli metotları tahmin edebilir.DoS Saldırıları
Bilindiği üzere Servis dışı bırakma saldırıları olarak adlandırılan bu saldırı türü web servisleri içinde tehlike arz etmektedir.XML Jumbo Tag İsimleri
XML içerisindeki meta verilerin (element name, attribute name, name space vb.) max boyutlarının aşılarak ayrıştırıcı tarafından işlenememesi sonucunu ortaya çıkaran saldırı türüdür.
Coercive Parsing
XML verisi içerisinde “CDATA” alanları ayrıştırıcı (parser) tarafından ele alınmazlar. Saldırganlar bu alanları kullanarak sistem komutları gönderebilir. Bu tip saldırılara coercive parsing denmektedir.
XML Döküman Büyüklüğü
XML dosyaları içerisine büyük boyutlu veri girilmesi sonucu web servis sunucusu bu xml dosyasını işleyemez ve yeni gelen servis isteklerine cevap veremez hale gelir.
Enjeksiyon Saldırıları
SQL EnjeksiyonuDaha önceden de bildiğimiz bu saldırı yöntemi web servisler içinde geçerlidir. XML içerisine beklenmeyen sql cümlecikleri eklenerek ekstra bilgiye erişim sağlayan saldırı yöntemidir.
XML Enjeksiyonu
Bu saldırı türüde sql cümleciği yerine istenilen bir xml cümleciğini servise aktarmayı hedefler. Bu saldırı sayesinde örneğin sizin bir adet kayıt girme hakkınız var servisde fakat siz bu yöntemle xml ayrıştırıcıyı da atlatarak birden fazla veri girişi sağlayabilirsiniz.
Zararlı Yazılım, virüs
Diğer sistemlerde olduğu gibi web servisi sunduğunuz platformun açıklıklarından faydalanan ve sisteme zarar veren yazılım ve virüsler bu ortam içinde geliştirilmeye başlanmıştır.Burada saydığımız saldırılardan korunmak için XML firewall üzerinde Politika (Policy) tanımlamalıyız. Kısaca çok kullanılan politikaları inceleyelim.
Politikalar (Policy)
Schema validasyonu
Bir XML dosyanin icerigini kontrol etmek icin schema dosyalarindan faydalanırız. XML schema dosyasi, XML dosyasınıniçeriğinin sahip olması gereken kuralları tanımlayan, uzantısı XSD (XML Schema Definition) olan dosyalardır.XSD içersinde bahsedilen kurallar şunlardır;
XML dosyası içinde var olması beklenen element ve attribute'ler, bunlara ait olan data tipleri.XML dosyasının yapısı, elementler ve bu elementlere ait olan child elementler,
Child elementlerin sayısı ve sırası,
Element'lerin bir text değere sahip olup olmayacağı.
Hata mesajı ekleme
Bilgi sızmaması için özel koşullar oluştuğunda web servisin cevabı yerine anlamlı hata mesajı dönmesi bir güvenlik yöntemidir.IP filtreleme
Web servisine erişimin IP bazlı kısıtlanmasını sağlayan politikadır.WS-Security Kullanıcı bilgileri ekleme
Farklı güvenli protokolleri kullanarak web servisine ulaşmadan daha öncesinde bir kullanıcı kontrol mekanizması oluşturan politikadır.Routing
Arka planda çalışan servisin gerçek adresinin tespit edilememesi için ip ve port bazlı yönlendirmeye olanak sağlayan politikadır.Zaman Filtreleme
Servisin istediğiniz saatler dışında kullanılmamasını sağlayan politika.not: derleme
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla