Web服務(wù)會(huì)對(duì)黑客的Dos攻擊提供幫助

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Web服務(wù)會(huì)對(duì)黑客的Dos攻擊提供幫助

Web服務(wù)標(biāo)準(zhǔn)的開(kāi)發(fā)使得我們能夠?qū)⒃S多由第三方提供的“松耦合”的組件組合到一起開(kāi)發(fā)商業(yè)應(yīng)用。這種方法引發(fā)的問(wèn)題是，某個(gè)組件極有可能會(huì)受到Dos攻擊。

Web服務(wù)目前被限制只能在內(nèi)部網(wǎng)絡(luò)上使用的原因有許多。主要原因是大多數(shù)的開(kāi)發(fā)工作還處于實(shí)驗(yàn)階段。另外，安全性和可管理性的缺乏使得將Web服務(wù)發(fā)布到防火墻之外成為一件“很恐怖”的事兒。即使這些問(wèn)題解決了，Web服務(wù)仍然存在著相當(dāng)?shù)膯?wèn)題。

Web服務(wù)標(biāo)準(zhǔn)好的一面是它可以幫助第三方發(fā)現(xiàn)并執(zhí)行一定的功能，但這一點(diǎn)完全可能會(huì)被黑客所利用。首先，UDDI將協(xié)助攻擊者找到任意的Web服務(wù)，WSDL將提供執(zhí)行服務(wù)所必需的細(xì)節(jié)。在SOAP的幫助下，Web服務(wù)就可以在服務(wù)器上執(zhí)行了，Dos攻擊也就開(kāi)始了。通過(guò)大量的請(qǐng)求就可以使服務(wù)器疲于應(yīng)付，并最終癱瘓。

有讀者一定會(huì)辯解說(shuō)，在沒(méi)有成熟的安全機(jī)制前，沒(méi)有人會(huì)向所有用戶開(kāi)放自己的服務(wù)。然而，這需要功能強(qiáng)大的身份管理系統(tǒng)，確保在發(fā)出執(zhí)行服務(wù)所必須的信息前，申請(qǐng)者已經(jīng)得到了服務(wù)器的信任。一個(gè)顯而易見(jiàn)的解決方案是在用戶知道哪些服務(wù)可供使用前，對(duì)其身份進(jìn)行認(rèn)證。然而，這與Web服務(wù)的“所有組件可以供任意人使用”的理念是相違背的。

在實(shí)際應(yīng)用中，即使一些Web服務(wù)是需要用戶注冊(cè)的，但注冊(cè)的目的并不是為了安全性，而是為了對(duì)用戶因使用服務(wù)而收費(fèi)。