SlideShare a Scribd company logo

Web servisi güvenliği

Download as PPTX, PDF
Emrah Gürcan
Emrah Gürcan
1 of 16
Web Servisi Güvenliği
Web Servisi Güvenliği • Günümüz uygulamalarında gittikçe artan bir ihtiyaçta uygulamaların entegre olması ve verilerin paylaşılması istenmektedir. • Uygulama veya veri tabanı seviyesinde birçok güvenlik standardı bulunurken bu yeni gelişen entegrasyon katmanında standartlar ve yaklaşımlar yeni yeni oluşmaya başlamıştır. • Web servisleri konusunda dünya genelinde kabul görmüş organizasyonlar listelenecek olursa; – OASIS (The Organization for the Advancement of Structured Information Standards) – W3C (The World Wide Web Consortium) – WS-I (The Web Services Interopability Organization) – IETF (The Internet Engineering Task Force) • Bu organizasyonlar ve bu katmanda ürün piyasaya süren (IBM, Oracle – BEA, Microsoft, Software Ag, v.s.) şirketler tarafından Şekil -1 deki standartlar belirlenerek güvenli bir şekilde entegrasyonun sağlanması amaçlanmaktadır.
Web servis işleyiş sürecini güvenlik açısından incelenmesi • Bir istemci web servisten önce servis bilgileri isteğinde bulunur. Burada ilk aşama güvenlik olarak servis bilgilerini bulunduran dosyalara authentication (Basic, Digest, Integrated ve Certificate Authentication) ile erişimin kısıtlanmasıdır. • Authentication dan sonraki aşama ise yetkilendirme (authorization) aşamasıdır. Bu aşamada istemci kendini tanıtmış gerekli güvenlik onayını geçmiş ve bir istekte bulunmuştur fakat her istemcinin tüm veriye erişmesi istenmeyen bir durum olduğu için her istemciye ayrı bir yetki verilmelidir. İşte bu işlem bu adımda gerçekleşmektedir. • İstemcinin yetkilerini sunucu tarafında kontrol ettikten sonra istemcinin güvenliği ve sunucunun güvenilirliği için mesajın kime ait olduğunun tespit edilebilmesini sağlayan imzalama (signature) aşamasına geçilir. Bu aşamada geçerli bir sertifika ile mesaj imzalanır ve karşı tarafa gönderilmeye hazır hale getirilir. • Son aşama ise mesaj içeriğinin şifrelenmesi (encryption) aşamasıdır. Bu aşamada kullandığınız platformun desteklediği yeteneklere göre istenilen formatta mesajı şifreleyebilirsiniz. Yeter ki istemci kullandığınız yöntemi bilsin ve ona göre şifrelenmiş mesajı çözüp anlamlı hale getirebilsin.
Neden web servislerinde güvenliğe dikkat edilmeli? • Web servisleri, uygulamaların API'lerine ve hedef uygulamalara erişim sağladığından birçok güvenlik açıklıkları bulunmaktadır. • Web servislerinin dağıtık ve uçtan-uca yapısı, tehdit ve güvenlik açıklıklarının bir uygulamadan başka uygulamalara atlamalarına neden olabilmektedir. • İnternet ortamında çok daha fazla kullanıcı, çok daha fazla bilgi, belge, hacker v.s. dolaşmaktadır. • Mevcut Güvenlik Çözümleri Web Servisleri Güvenliği İçin Yeterli mi?
SSL Güvenliği • Noktadan noktaya güvenlik sağlar, tüm veriyi şifreler ancak verinin içeriği ile ilgilenmez. • Taşıma seviyesinde kullanıcı doğrulaması yapabilir, mesaj seviyesinde yapamaz.
Network Firewall • Ağ üzerinden geçen paketlerin kaynak/hedef gibi temel özelliklerine bakıp, paketin geçip geçmemesine karar verir. • Nereden geldiği, kimin oluşturduğu, hedefi, ne zaman geldiği gibi ayrıntılara bakmazlar.
Application Firewall • Paketin içeriğine göre geçip geçmemesine karar verir. • Paketin içeriği uygun mu, paketin içindeki bilgi ne kadar öncelikli, paketin içeriğinin yapısı doğru mu, gibi önemli kısımlara bakmazlar.
XML için donanımsal veya yazılımsal firewall • Eksik kalan özellikler için web servislerin temelini oluşturan XML için donanımsal veya yazılımsal firewall'lar tasarlanmıştır. • Bu Firewall'lar genel olarak aşağıdaki işlemleri gerçekleştirebilir. • Gelen XML dökümanı/mesajı yapısı, kurum tarafından belirlenen XML şemasına uyup uymadığını kontrol eder. • Zararlı kod içerip içermediğini belirli tekniklere göre kontrol eder. Hatta bazı ürünler gömülü bir antivirüs programı barındırır, • Gelen mesajın Mesaj Seviyesi Güvenliği (MessageLevel Security) var mı kontrol eder. • Alıcının veya göndericinin kimlik doğrulama işlemleri ve yetkileri (Authentication and Authorization) işlemini gerçekleştirir, • İzleme ve kayıt altına alma (Audit and Accounting) işlemlerini yapabilir,
• HTTP header, SOAP, ve XML seviyelerinde atakları bloklar. Attachment dosyaları scan edilir. Zararlı mesajlar bloklanır, • Veri tabanından sorgulama yapabilir. Dönen veriyi XML mesajının içine ve/veya mesaj header’ine enjekte edebilir, • Hizmet seviyesi anlaşmasına (SLA) göre yükü dengeler, • Aynı web servis üzerinde client ’e özel politikalar tanımlanabilir, • Client ‘a özel istek işleme sayısının sınırlanması yapılabilir, • Client’a özel SLA (service-level agreement) tanımlama ve uyarılar yapılabilir, • Bazı servis metotlarını belli client'lardan saklanabilir, • Client'lar IP adres, SAML özellik, SOAP/transport header'ları bazında tanımlanabilir. • Uyarılar windows event log, Unix/Linux syslog, SNMP, E-mail gibi farklı kanallara iletilebilir. • Web servis erişimlerini gerçek zamanlı izleme ve raporlama yapma imklanı sağlar.
Web Servislerine Yapılan Saldırı Türleri • WSDL Tarama • Bu saldırı, bir web servisi tarafından sunulan WSDL arayüzünü bulmayı sağlar. • Saldırgan, web serivisi oluşturmak için kullanılan teknolojiyi tespit etmek ve ilgili güvenlik açıklarını bulmak için WSDL arayüzü taraması yapabilir. • Genellikle bu tür saldırılar daha ciddi saldırılar gerçekleştirmek için örneğin; parametre kurcalama (paremeter tempering), zararlı içerik enjeksiyonu (malicious content injection), komut enjeksiyonu (command injection) vb. yapılmaktadır. • WSDL dosyaları, tüketicilere sunulan hizmetlerin portları ve parametreleri hakkında ayrıntılı bilgi sağlar. • Örneğin, saldırgan, özel karakterler veya kötü niyetli içerik göndererek servisin hizmet dışı kalmasına yada önemli bilgilerin veritabanından çekilmesine neden olabilir. • Buna ek olarak, saldırgan WSDL dosyalarında sağlanan bilgileri kullanarak diğer özel yöntemlerle aynı servis altında tanımlı gizli metotları tahmin edebilir.
Web Servislerine Yapılan Saldırı Türleri • DoS Saldırıları – Bilindiği üzere Servis dışı bırakma saldırıları olarak adlandırılan bu saldırı türü web servisleri içinde tehlike arz etmektedir. • XML Jumbo Tag İsimleri – XML içerisindeki meta verilerin (element name, attribute name, name space vb.) max boyutlarının aşılarak ayrıştırıcı tarafından işlenememesi sonucunu ortaya çıkaran saldırı türüdür. • Coercive Parsing – XML verisi içerisinde “CDATA” alanları ayrıştırıcı (parser) tarafından ele alınmazlar. Saldırganlar bu alanları kullanarak sistem komutları gönderebilir. Bu tip saldırılara coercive parsing denmektedir. • XML Döküman Büyüklüğü – XML dosyaları içerisine büyük boyutlu veri girilmesi sonucu web servis sunucusu bu xml dosyasını işleyemez ve yeni gelen servis isteklerine cevap veremez hale gelir.
Web Servislerine Yapılan Saldırı Türleri • SQL Enjeksiyonu – Daha önceden de bildiğimiz bu saldırı yöntemi web servisler içinde geçerlidir. XML içerisine beklenmeyen sql cümlecikleri eklenerek ekstra bilgiye erişim sağlayan saldırı yöntemidir. • XML Enjeksiyonu – Bu saldırı türünde sql cümleciği yerine istenilen bir xml cümleciğini servise aktarmayı hedefler. Bu saldırı sayesinde örneğin sizin bir adet kayıt girme hakkınız var servisde fakat siz bu yöntemle xml ayrıştırıcıyı da atlatarak birden fazla veri girişi sağlayabilirsiniz. • Zararlı Yazılım, virüs – Diğer sistemlerde olduğu gibi web servisi sunduğunuz platformun açıklıklarından faydalanan ve sisteme zarar veren yazılım ve virüsler bu ortam içinde geliştirilmeye başlanmıştır.
Politika • Burada saydığımız saldırılardan korunmak için XML firewall üzerinde Politika (Policy) tanımlamalıyız. Kısaca çok kullanılan politikaları inceleyelim. • Schema validasyonu – Bir XML dosyasının içeriğini kontrol etmek için schema dosyalarından faydalanırız. – XML schema dosyasi, XML dosyasının içeriğinin sahip olması gereken kuralları tanımlayan, uzantısı XSD (XML Schema Definition) olan dosyalardır.
XSD içerisinde bahsedilen kurallar şunlardır • XML dosyası içinde var olması beklenen element ve attribute'ler, bunlara ait olan data tipleri. • XML dosyasının yapısı, elementler ve bu elementlere ait olan child elementler, • Child elementlerin sayısı ve sırası, • Element'lerin bir text değere sahip olup olmayacağı. • Hata mesajı ekleme • Bilgi sızmaması için özel koşullar oluştuğunda web servisin cevabı yerine anlamlı hata mesajı dönmesi bir güvenlik yöntemidir. • IP filtreleme • Web servisine erişimin IP bazlı kısıtlanmasını sağlayan politikadır. • WS-Security Kullanıcı bilgileri ekleme • Farklı güvenli protokolleri kullanarak web servisine ulaşmadan daha öncesinde bir kullanıcı kontrol mekanizması oluşturan politikadır. • Routing • Arka planda çalışan servisin gerçek adresinin tespit edilememesi için ip ve port bazlı yönlendirmeye olanak sağlayan politikadır. • Zaman Filtreleme • Servisin istediğiniz saatler dışında kullanılmamasını sağlayan politika.

Recommended

OSI - TCP/IP
OSI - TCP/IPOSI - TCP/IP
OSI - TCP/IPKaterina Drimili
 
Yaygın Linux Komutları ve Windows Karşılıkları
Yaygın Linux Komutları ve Windows KarşılıklarıYaygın Linux Komutları ve Windows Karşılıkları
Yaygın Linux Komutları ve Windows KarşılıklarıMert Hakki Bingol
 
S3 o2 drast_4a_zacharopoulos_alexandros
S3 o2 drast_4a_zacharopoulos_alexandrosS3 o2 drast_4a_zacharopoulos_alexandros
S3 o2 drast_4a_zacharopoulos_alexandrossugarax
 
σύστημα αρχείων
σύστημα αρχείωνσύστημα αρχείων
σύστημα αρχείωνAgelos Titis
 
Distributed Server
Distributed ServerDistributed Server
Distributed ServerRajan Kumar
 
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Murat KARA
 
Phishing Attacks: A Challenge Ahead
Phishing Attacks: A Challenge AheadPhishing Attacks: A Challenge Ahead
Phishing Attacks: A Challenge AheadeLearning Papers
 
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKMaganathin Veeraragaloo
 

Recommended

OSI - TCP/IP
OSI - TCP/IPOSI - TCP/IP
OSI - TCP/IPKaterina Drimili
 
Yaygın Linux Komutları ve Windows Karşılıkları
Yaygın Linux Komutları ve Windows KarşılıklarıYaygın Linux Komutları ve Windows Karşılıkları
Yaygın Linux Komutları ve Windows KarşılıklarıMert Hakki Bingol
 
S3 o2 drast_4a_zacharopoulos_alexandros
S3 o2 drast_4a_zacharopoulos_alexandrosS3 o2 drast_4a_zacharopoulos_alexandros
S3 o2 drast_4a_zacharopoulos_alexandrossugarax
 
σύστημα αρχείων
σύστημα αρχείωνσύστημα αρχείων
σύστημα αρχείωνAgelos Titis
 
Distributed Server
Distributed ServerDistributed Server
Distributed ServerRajan Kumar
 
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018
Siber Guvenlik ve Etik Hacking -1- Güncelleme 2018Murat KARA
 
Phishing Attacks: A Challenge Ahead
Phishing Attacks: A Challenge AheadPhishing Attacks: A Challenge Ahead
Phishing Attacks: A Challenge AheadeLearning Papers
 
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORK
ZERO TRUST ARCHITECTURE - DIGITAL TRUST FRAMEWORKMaganathin Veeraragaloo
 
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Virtualization security
Virtualization securityVirtualization security
Virtualization securityAhmed Nour
 
Κεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματοςΚεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματοςEleni Kokkinou
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıBGA Cyber Security
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıAhmet Gürel
 
Μεταγωγή Πακέτου
Μεταγωγή ΠακέτουΜεταγωγή Πακέτου
Μεταγωγή ΠακέτουMs S
 
Δομή και υπηρεσίες Διαδικτύου
Δομή και υπηρεσίες ΔιαδικτύουΔομή και υπηρεσίες Διαδικτύου
Δομή και υπηρεσίες ΔιαδικτύουΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
Η Ιστορία του Διαδικτύου
Η Ιστορία του ΔιαδικτύουΗ Ιστορία του Διαδικτύου
Η Ιστορία του ΔιαδικτύουMarios5oLuk
 
Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4 Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4 Katerina Drimili
 
HTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1οHTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1οDespina Kamilali
 
ΔΙΚΤΥΑ
ΔΙΚΤΥΑΔΙΚΤΥΑ
ΔΙΚΤΥΑ3lykgala
 
Cloud computing architectures
Cloud computing architecturesCloud computing architectures
Cloud computing architecturesMuhammad Aitzaz Ahsan
 
Linux sunum
Linux sunumLinux sunum
Linux sunumOğuzhan TAŞ Akademi
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017R-Style Lab
 
Cybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.comCybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.comAravind R
 
Pad
PadPad
Padvasiliki vasiliki
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 
Bpo Elite - Introduction to Analytics
Bpo Elite - Introduction to AnalyticsBpo Elite - Introduction to Analytics
Bpo Elite - Introduction to AnalyticsDan Meyer
 
2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sf2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sfDan Meyer
 

More Related Content

What's hot

Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıBGA Cyber Security
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıBGA Cyber Security
 
Virtualization security
Virtualization securityVirtualization security
Virtualization securityAhmed Nour
 
Κεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματοςΚεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματοςEleni Kokkinou
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıBGA Cyber Security
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıAhmet Gürel
 
Μεταγωγή Πακέτου
Μεταγωγή ΠακέτουΜεταγωγή Πακέτου
Μεταγωγή ΠακέτουMs S
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΕΥΑΓΓΕΛΙΑ ΚΟΚΚΙΝΟΥ
 
Η Ιστορία του Διαδικτύου
Η Ιστορία του ΔιαδικτύουΗ Ιστορία του Διαδικτύου
Η Ιστορία του ΔιαδικτύουMarios5oLuk
 
Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4 Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4 Katerina Drimili
 
HTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1οHTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1οDespina Kamilali
 
ΔΙΚΤΥΑ
ΔΙΚΤΥΑΔΙΚΤΥΑ
ΔΙΚΤΥΑ3lykgala
 
The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017R-Style Lab
 
Cybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.comCybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.comAravind R
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADMehmet Ince
 

What's hot (20)

Zararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab KitabıZararlı Yazılım Analizi Eğitimi Lab Kitabı
Zararlı Yazılım Analizi Eğitimi Lab Kitabı
 
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik YaklaşımlarıAndroid Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
Android Zararlı Yazılım Analizi ve Güvenlik Yaklaşımları
 
Virtualization security
Virtualization securityVirtualization security
Virtualization security
 
Κεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματοςΚεφάλαιο 4 Λογισμικό συστήματος
Κεφάλαιο 4 Λογισμικό συστήματος
 
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif KullanımıKurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
Kurumsal Ağlarda Saldırı Tespiti Amaçlı Honeypot Sistemlerin Efektif Kullanımı
 
Temel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve KomutlarıTemel Linux Kullanımı ve Komutları
Temel Linux Kullanımı ve Komutları
 
Μεταγωγή Πακέτου
Μεταγωγή ΠακέτουΜεταγωγή Πακέτου
Μεταγωγή Πακέτου
 
Δομή και υπηρεσίες Διαδικτύου
Δομή και υπηρεσίες ΔιαδικτύουΔομή και υπηρεσίες Διαδικτύου
Δομή και υπηρεσίες Διαδικτύου
 
Ασφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτωνΑσφάλεια υπολογιστικών συστημάτων
Ασφάλεια υπολογιστικών συστημάτων
 
Η Ιστορία του Διαδικτύου
Η Ιστορία του ΔιαδικτύουΗ Ιστορία του Διαδικτύου
Η Ιστορία του Διαδικτύου
 
Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4 Δίκτυα - Κεφάλαιο 4
Δίκτυα - Κεφάλαιο 4
 
HTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1οHTML-CSS για αρχάριους :: Μάθημα 1ο
HTML-CSS για αρχάριους :: Μάθημα 1ο
 
ΔΙΚΤΥΑ
ΔΙΚΤΥΑΔΙΚΤΥΑ
ΔΙΚΤΥΑ
 
Cloud computing architectures
Cloud computing architecturesCloud computing architectures
Cloud computing architectures
 
Linux sunum
Linux sunumLinux sunum
Linux sunum
 
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim SunumuBTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
BTRİSK Web Uygulama Güvenliği Denetimi Eğitim Sunumu
 
The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017The Importance of Cybersecurity in 2017
The Importance of Cybersecurity in 2017
 
Cybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.comCybersecurity Basics - Aravindr.com
Cybersecurity Basics - Aravindr.com
 
Pad
PadPad
Pad
 
Kali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRADKali ile Linux'e Giriş | IntelRAD
Kali ile Linux'e Giriş | IntelRAD
 

Viewers also liked

Bpo Elite - Introduction to Analytics
Bpo Elite - Introduction to AnalyticsBpo Elite - Introduction to Analytics
Bpo Elite - Introduction to AnalyticsDan Meyer
 
2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sf2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sfDan Meyer
 
Sife donetsk
Sife donetskSife donetsk
Sife donetskIdenL
 
6 sayı teorisinin temelleri
6 sayı teorisinin temelleri6 sayı teorisinin temelleri
6 sayı teorisinin temelleriEmrah Gürcan
 
DMAI 2014 Strategic Plan
DMAI 2014 Strategic PlanDMAI 2014 Strategic Plan
DMAI 2014 Strategic PlanDan Meyer
 
DMAI Analytics Solutions Guide
DMAI Analytics Solutions GuideDMAI Analytics Solutions Guide
DMAI Analytics Solutions GuideDan Meyer
 
Relatorio de celula 071012
Relatorio de celula 071012Relatorio de celula 071012
Relatorio de celula 071012talmidimted
 
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...Dan Meyer
 
Bilgi sistemleri ve güvenliği 2
Bilgi sistemleri ve güvenliği 2Bilgi sistemleri ve güvenliği 2
Bilgi sistemleri ve güvenliği 2Emrah Gürcan
 
Chapitre 3 tableaux et pointeurs en C
Chapitre 3 tableaux et pointeurs en CChapitre 3 tableaux et pointeurs en C
Chapitre 3 tableaux et pointeurs en CAbdelouahed Abdou
 
5 saymanın temel prensipleri
5 saymanın temel prensipleri5 saymanın temel prensipleri
5 saymanın temel prensipleriEmrah Gürcan
 

Viewers also liked (17)

Bpo Elite - Introduction to Analytics
Bpo Elite - Introduction to AnalyticsBpo Elite - Introduction to Analytics
Bpo Elite - Introduction to Analytics
 
2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sf2013 medexcel external marketing ppt sf
2013 medexcel external marketing ppt sf
 
London
LondonLondon
London
 
Hafta 3
Hafta 3Hafta 3
Hafta 3
 
Sife donetsk
Sife donetskSife donetsk
Sife donetsk
 
London
LondonLondon
London
 
London
LondonLondon
London
 
London
LondonLondon
London
 
6 sayı teorisinin temelleri
6 sayı teorisinin temelleri6 sayı teorisinin temelleri
6 sayı teorisinin temelleri
 
DMAI 2014 Strategic Plan
DMAI 2014 Strategic PlanDMAI 2014 Strategic Plan
DMAI 2014 Strategic Plan
 
DMAI Analytics Solutions Guide
DMAI Analytics Solutions GuideDMAI Analytics Solutions Guide
DMAI Analytics Solutions Guide
 
Relatorio de celula 071012
Relatorio de celula 071012Relatorio de celula 071012
Relatorio de celula 071012
 
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...
Sample of how to teach the concepts of Business Intelligence to Fresh Graduat...
 
Bilgi sistemleri ve güvenliği 2
Bilgi sistemleri ve güvenliği 2Bilgi sistemleri ve güvenliği 2
Bilgi sistemleri ve güvenliği 2
 
Ispat yöntemleri
Ispat yöntemleriIspat yöntemleri
Ispat yöntemleri
 
Chapitre 3 tableaux et pointeurs en C
Chapitre 3 tableaux et pointeurs en CChapitre 3 tableaux et pointeurs en C
Chapitre 3 tableaux et pointeurs en C
 
5 saymanın temel prensipleri
5 saymanın temel prensipleri5 saymanın temel prensipleri
5 saymanın temel prensipleri
 

Similar to Web servisi güvenliği

SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMIErtugrul Akbas
 
Microservices Architecture
Microservices ArchitectureMicroservices Architecture
Microservices ArchitectureDilaver Demirel
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiÇözümPARK
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651logyonetimi
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriBGA Cyber Security
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBGA Cyber Security
 
Azure Cloud Engineer - Bölüm 4
Azure Cloud Engineer - Bölüm 4Azure Cloud Engineer - Bölüm 4
Azure Cloud Engineer - Bölüm 4Önder Değer
 
Vekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik DuvarlariVekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik Duvarlarieroglu
 
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
MShowto.Org - Windows Server 2008 Güvenlik TeknolojileriMShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
MShowto.Org - Windows Server 2008 Güvenlik TeknolojileriMSHOWTO Bilisim Toplulugu
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651Osman do?n
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumÖzden Aydın
 
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH
 
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİTulay Candar
 
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle Koruyun
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle KoruyunSharePoint Ortamınızı Forefront Güvenlik Ailesiyle Koruyun
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle KoruyunMSHOWTO Bilisim Toplulugu
 
Dagitilmis Sistemlerde Guvenlik
Dagitilmis Sistemlerde GuvenlikDagitilmis Sistemlerde Guvenlik
Dagitilmis Sistemlerde Guvenlikeroglu
 
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)Security Misconfiguration (Güvenlik Yalnış Yapılandırma)
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)Abdullah Celik
 

Similar to Web servisi güvenliği (20)

SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMISINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
SINIFLANDIRMA TEMELLİ KORELASYON YAKLAŞIMI
 
IIS
IISIIS
IIS
 
Microservices Architecture
Microservices ArchitectureMicroservices Architecture
Microservices Architecture
 
MS Forefront Güvenlik Ailesi
MS Forefront Güvenlik AilesiMS Forefront Güvenlik Ailesi
MS Forefront Güvenlik Ailesi
 
Güvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve YazılımlarıGüvenlik Duvarları ve Yazılımları
Güvenlik Duvarları ve Yazılımları
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Yazılım Güvenliği Temelleri
Yazılım Güvenliği TemelleriYazılım Güvenliği Temelleri
Yazılım Güvenliği Temelleri
 
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru EntegrasyonuBaşarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
Başarılı Bir Savunma İçin Güvenlik Ürünlerinin Doğru Entegrasyonu
 
Azure Cloud Engineer - Bölüm 4
Azure Cloud Engineer - Bölüm 4Azure Cloud Engineer - Bölüm 4
Azure Cloud Engineer - Bölüm 4
 
Vekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik DuvarlariVekil Sunucularve Guvenlik Duvarlari
Vekil Sunucularve Guvenlik Duvarlari
 
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
MShowto.Org - Windows Server 2008 Güvenlik TeknolojileriMShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
MShowto.Org - Windows Server 2008 Güvenlik Teknolojileri
 
Log yönetimi ve 5651
Log yönetimi ve 5651Log yönetimi ve 5651
Log yönetimi ve 5651
 
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo SunumAruba ClearPass’e Genel Bakış Ve Demo Sunum
Aruba ClearPass’e Genel Bakış Ve Demo Sunum
 
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
 
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİCRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
CRYPTTECH NG ÜRÜNLERİ ÖZELLİKLERİ
 
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle Koruyun
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle KoruyunSharePoint Ortamınızı Forefront Güvenlik Ailesiyle Koruyun
SharePoint Ortamınızı Forefront Güvenlik Ailesiyle Koruyun
 
Mail Sniper Nedir?
Mail Sniper Nedir?Mail Sniper Nedir?
Mail Sniper Nedir?
 
Web Hacking
Web HackingWeb Hacking
Web Hacking
 
Dagitilmis Sistemlerde Guvenlik
Dagitilmis Sistemlerde GuvenlikDagitilmis Sistemlerde Guvenlik
Dagitilmis Sistemlerde Guvenlik
 
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)Security Misconfiguration (Güvenlik Yalnış Yapılandırma)
Security Misconfiguration (Güvenlik Yalnış Yapılandırma)
 

More from Emrah Gürcan

Ayrık yapılar algoritmalar
Ayrık yapılar algoritmalarAyrık yapılar algoritmalar
Ayrık yapılar algoritmalarEmrah Gürcan
 
Matematiksel veri yapıları
Matematiksel veri yapılarıMatematiksel veri yapıları
Matematiksel veri yapılarıEmrah Gürcan
 

More from Emrah Gürcan (6)

Uygulama 1
Uygulama 1Uygulama 1
Uygulama 1
 
Uygulama 1
Uygulama 1Uygulama 1
Uygulama 1
 
Proje dökümanı
Proje dökümanıProje dökümanı
Proje dökümanı
 
Bilgi sis..
Bilgi sis..Bilgi sis..
Bilgi sis..
 
Ayrık yapılar algoritmalar
Ayrık yapılar algoritmalarAyrık yapılar algoritmalar
Ayrık yapılar algoritmalar
 
Matematiksel veri yapıları
Matematiksel veri yapılarıMatematiksel veri yapıları
Matematiksel veri yapıları
 

Web servisi güvenliği

  • 2. Web Servisi Güvenliği • Günümüz uygulamalarında gittikçe artan bir ihtiyaçta uygulamaların entegre olması ve verilerin paylaşılması istenmektedir. • Uygulama veya veri tabanı seviyesinde birçok güvenlik standardı bulunurken bu yeni gelişen entegrasyon katmanında standartlar ve yaklaşımlar yeni yeni oluşmaya başlamıştır. • Web servisleri konusunda dünya genelinde kabul görmüş organizasyonlar listelenecek olursa; – OASIS (The Organization for the Advancement of Structured Information Standards) – W3C (The World Wide Web Consortium) – WS-I (The Web Services Interopability Organization) – IETF (The Internet Engineering Task Force) • Bu organizasyonlar ve bu katmanda ürün piyasaya süren (IBM, Oracle – BEA, Microsoft, Software Ag, v.s.) şirketler tarafından Şekil -1 deki standartlar belirlenerek güvenli bir şekilde entegrasyonun sağlanması amaçlanmaktadır.
  • 3.
  • 4. Web servis işleyiş sürecini güvenlik açısından incelenmesi • Bir istemci web servisten önce servis bilgileri isteğinde bulunur. Burada ilk aşama güvenlik olarak servis bilgilerini bulunduran dosyalara authentication (Basic, Digest, Integrated ve Certificate Authentication) ile erişimin kısıtlanmasıdır. • Authentication dan sonraki aşama ise yetkilendirme (authorization) aşamasıdır. Bu aşamada istemci kendini tanıtmış gerekli güvenlik onayını geçmiş ve bir istekte bulunmuştur fakat her istemcinin tüm veriye erişmesi istenmeyen bir durum olduğu için her istemciye ayrı bir yetki verilmelidir. İşte bu işlem bu adımda gerçekleşmektedir. • İstemcinin yetkilerini sunucu tarafında kontrol ettikten sonra istemcinin güvenliği ve sunucunun güvenilirliği için mesajın kime ait olduğunun tespit edilebilmesini sağlayan imzalama (signature) aşamasına geçilir. Bu aşamada geçerli bir sertifika ile mesaj imzalanır ve karşı tarafa gönderilmeye hazır hale getirilir. • Son aşama ise mesaj içeriğinin şifrelenmesi (encryption) aşamasıdır. Bu aşamada kullandığınız platformun desteklediği yeteneklere göre istenilen formatta mesajı şifreleyebilirsiniz. Yeter ki istemci kullandığınız yöntemi bilsin ve ona göre şifrelenmiş mesajı çözüp anlamlı hale getirebilsin.
  • 5.
  • 6. Neden web servislerinde güvenliğe dikkat edilmeli? • Web servisleri, uygulamaların API'lerine ve hedef uygulamalara erişim sağladığından birçok güvenlik açıklıkları bulunmaktadır. • Web servislerinin dağıtık ve uçtan-uca yapısı, tehdit ve güvenlik açıklıklarının bir uygulamadan başka uygulamalara atlamalarına neden olabilmektedir. • İnternet ortamında çok daha fazla kullanıcı, çok daha fazla bilgi, belge, hacker v.s. dolaşmaktadır. • Mevcut Güvenlik Çözümleri Web Servisleri Güvenliği İçin Yeterli mi?
  • 7. SSL Güvenliği • Noktadan noktaya güvenlik sağlar, tüm veriyi şifreler ancak verinin içeriği ile ilgilenmez. • Taşıma seviyesinde kullanıcı doğrulaması yapabilir, mesaj seviyesinde yapamaz.
  • 8. Network Firewall • Ağ üzerinden geçen paketlerin kaynak/hedef gibi temel özelliklerine bakıp, paketin geçip geçmemesine karar verir. • Nereden geldiği, kimin oluşturduğu, hedefi, ne zaman geldiği gibi ayrıntılara bakmazlar.
  • 9. Application Firewall • Paketin içeriğine göre geçip geçmemesine karar verir. • Paketin içeriği uygun mu, paketin içindeki bilgi ne kadar öncelikli, paketin içeriğinin yapısı doğru mu, gibi önemli kısımlara bakmazlar.
  • 10. XML için donanımsal veya yazılımsal firewall • Eksik kalan özellikler için web servislerin temelini oluşturan XML için donanımsal veya yazılımsal firewall'lar tasarlanmıştır. • Bu Firewall'lar genel olarak aşağıdaki işlemleri gerçekleştirebilir. • Gelen XML dökümanı/mesajı yapısı, kurum tarafından belirlenen XML şemasına uyup uymadığını kontrol eder. • Zararlı kod içerip içermediğini belirli tekniklere göre kontrol eder. Hatta bazı ürünler gömülü bir antivirüs programı barındırır, • Gelen mesajın Mesaj Seviyesi Güvenliği (MessageLevel Security) var mı kontrol eder. • Alıcının veya göndericinin kimlik doğrulama işlemleri ve yetkileri (Authentication and Authorization) işlemini gerçekleştirir, • İzleme ve kayıt altına alma (Audit and Accounting) işlemlerini yapabilir,
  • 11. • HTTP header, SOAP, ve XML seviyelerinde atakları bloklar. Attachment dosyaları scan edilir. Zararlı mesajlar bloklanır, • Veri tabanından sorgulama yapabilir. Dönen veriyi XML mesajının içine ve/veya mesaj header’ine enjekte edebilir, • Hizmet seviyesi anlaşmasına (SLA) göre yükü dengeler, • Aynı web servis üzerinde client ’e özel politikalar tanımlanabilir, • Client ‘a özel istek işleme sayısının sınırlanması yapılabilir, • Client’a özel SLA (service-level agreement) tanımlama ve uyarılar yapılabilir, • Bazı servis metotlarını belli client'lardan saklanabilir, • Client'lar IP adres, SAML özellik, SOAP/transport header'ları bazında tanımlanabilir. • Uyarılar windows event log, Unix/Linux syslog, SNMP, E-mail gibi farklı kanallara iletilebilir. • Web servis erişimlerini gerçek zamanlı izleme ve raporlama yapma imklanı sağlar.
  • 12. Web Servislerine Yapılan Saldırı Türleri • WSDL Tarama • Bu saldırı, bir web servisi tarafından sunulan WSDL arayüzünü bulmayı sağlar. • Saldırgan, web serivisi oluşturmak için kullanılan teknolojiyi tespit etmek ve ilgili güvenlik açıklarını bulmak için WSDL arayüzü taraması yapabilir. • Genellikle bu tür saldırılar daha ciddi saldırılar gerçekleştirmek için örneğin; parametre kurcalama (paremeter tempering), zararlı içerik enjeksiyonu (malicious content injection), komut enjeksiyonu (command injection) vb. yapılmaktadır. • WSDL dosyaları, tüketicilere sunulan hizmetlerin portları ve parametreleri hakkında ayrıntılı bilgi sağlar. • Örneğin, saldırgan, özel karakterler veya kötü niyetli içerik göndererek servisin hizmet dışı kalmasına yada önemli bilgilerin veritabanından çekilmesine neden olabilir. • Buna ek olarak, saldırgan WSDL dosyalarında sağlanan bilgileri kullanarak diğer özel yöntemlerle aynı servis altında tanımlı gizli metotları tahmin edebilir.
  • 13. Web Servislerine Yapılan Saldırı Türleri • DoS Saldırıları – Bilindiği üzere Servis dışı bırakma saldırıları olarak adlandırılan bu saldırı türü web servisleri içinde tehlike arz etmektedir. • XML Jumbo Tag İsimleri – XML içerisindeki meta verilerin (element name, attribute name, name space vb.) max boyutlarının aşılarak ayrıştırıcı tarafından işlenememesi sonucunu ortaya çıkaran saldırı türüdür. • Coercive Parsing – XML verisi içerisinde “CDATA” alanları ayrıştırıcı (parser) tarafından ele alınmazlar. Saldırganlar bu alanları kullanarak sistem komutları gönderebilir. Bu tip saldırılara coercive parsing denmektedir. • XML Döküman Büyüklüğü – XML dosyaları içerisine büyük boyutlu veri girilmesi sonucu web servis sunucusu bu xml dosyasını işleyemez ve yeni gelen servis isteklerine cevap veremez hale gelir.
  • 14. Web Servislerine Yapılan Saldırı Türleri • SQL Enjeksiyonu – Daha önceden de bildiğimiz bu saldırı yöntemi web servisler içinde geçerlidir. XML içerisine beklenmeyen sql cümlecikleri eklenerek ekstra bilgiye erişim sağlayan saldırı yöntemidir. • XML Enjeksiyonu – Bu saldırı türünde sql cümleciği yerine istenilen bir xml cümleciğini servise aktarmayı hedefler. Bu saldırı sayesinde örneğin sizin bir adet kayıt girme hakkınız var servisde fakat siz bu yöntemle xml ayrıştırıcıyı da atlatarak birden fazla veri girişi sağlayabilirsiniz. • Zararlı Yazılım, virüs – Diğer sistemlerde olduğu gibi web servisi sunduğunuz platformun açıklıklarından faydalanan ve sisteme zarar veren yazılım ve virüsler bu ortam içinde geliştirilmeye başlanmıştır.
  • 15. Politika • Burada saydığımız saldırılardan korunmak için XML firewall üzerinde Politika (Policy) tanımlamalıyız. Kısaca çok kullanılan politikaları inceleyelim. • Schema validasyonu – Bir XML dosyasının içeriğini kontrol etmek için schema dosyalarından faydalanırız. – XML schema dosyasi, XML dosyasının içeriğinin sahip olması gereken kuralları tanımlayan, uzantısı XSD (XML Schema Definition) olan dosyalardır.
  • 16. XSD içerisinde bahsedilen kurallar şunlardır • XML dosyası içinde var olması beklenen element ve attribute'ler, bunlara ait olan data tipleri. • XML dosyasının yapısı, elementler ve bu elementlere ait olan child elementler, • Child elementlerin sayısı ve sırası, • Element'lerin bir text değere sahip olup olmayacağı. • Hata mesajı ekleme • Bilgi sızmaması için özel koşullar oluştuğunda web servisin cevabı yerine anlamlı hata mesajı dönmesi bir güvenlik yöntemidir. • IP filtreleme • Web servisine erişimin IP bazlı kısıtlanmasını sağlayan politikadır. • WS-Security Kullanıcı bilgileri ekleme • Farklı güvenli protokolleri kullanarak web servisine ulaşmadan daha öncesinde bir kullanıcı kontrol mekanizması oluşturan politikadır. • Routing • Arka planda çalışan servisin gerçek adresinin tespit edilememesi için ip ve port bazlı yönlendirmeye olanak sağlayan politikadır. • Zaman Filtreleme • Servisin istediğiniz saatler dışında kullanılmamasını sağlayan politika.