22、Web服务安全与应用管理全解析

Web服务安全与应用管理全解析

Web服务相关文件与安全隐患

• DISCO文件查找 ：可以通过仔细查看Web服务或相关页面的HTML源代码，找出DISCO文件的实际名称。之前在讨论DISCO时，已了解到如何在HTML中实现对DISCO文件位置的“提示”。
• DISCO和WSDL信息泄露防范 ：若要发布Web服务的相关信息，防止DISCO或WSDL信息泄露成为严重问题的最佳方法，是避免敏感或私人数据出现在XML中。对文件所在目录进行访问认证也是不错的选择。确保DISCO或WSDL信息不落入入侵者手中的唯一办法，是避免为该服务创建相关的.wsdl、.discomap、.disco和.xsd文件。因为一旦这些文件可用，它们就是用于发布的。

Web服务安全基础

Web服务技术的各个方面存在潜在的安全漏洞。下面从整体上审视Web服务安全，总结一些要点并介绍新的内容。

Web服务与Web应用安全的相似性

Web服务在很多方面类似于独立的Web应用程序，它由脚本、可执行文件和配置文件组成，存放在Web服务器的虚拟目录中。因此，之前讨论的许多Web应用程序漏洞同样适用于Web服务。
- 跨边界访问问题 ：Web服务必须能够跨越组织的安全边界，尤其是防火墙进行访问。此外，它们通过WSDL、DISCO和UDDI等协议向广大用户公开业务合同接口。所以，传统的TCP/IP安全措施（如防火墙和筛选路由器）对Web服务的保护作用有限。
- 依赖底层服务风险