在一个实现方式中,服务接口分析系统标识针对网络服务的服务请求的部分处以及由网络服务响应于服务请求提供的服务响应内的参数。然后,所述服务接口分析系统定义请求模板,所述请求模板在与所述服务请求的所述部分相关联的所述请求模板的部分处包括占位符。
【技术实现步骤摘要】
【国外来华专利技术】【专利摘要】在一个实现方式中,服务接口分析系统标识针对网络服务的服务请求的部分处以及由网络服务响应于服务请求提供的服务响应内的参数。然后,所述服务接口分析系统定义请求模板,所述请求模板在与所述服务请求的所述部分相关联的所述请求模板的部分处包括占位符。【专利说明】网络服务接口分析
技术介绍
安全测试被用于针对弱点或攻击矢量评价网络服务(诸如,web应用)。在安全测试的一种方法中,安全测试应用(或扫描仪)标识网络服务的服务接口(例如,统一资源标识符(URI),诸如,应用在其处接受输入的统一资源定位符(URL))。网络服务的服务接口有时被称为网络服务的攻击表面。 扫描仪通过分析与网络服务相关的网页以标识引用网络服务的URI (诸如,包括网络服务的主机标识符的URI ),来标识网络服务的服务接口。在一些实现方式中,扫描仪还把超文本传送协议(HTTP)请求提供到网络服务并评估来自所述网络服务的HTTP响应,从而确定所述网络服务是否对这些URI处的请求作出响应,以及响应于这种请求返回的数据的特性。 然后,扫描仪基于服务接口执行攻击,诸如,被导向到网络服务在其处接受输入的URI的HTTP请求。例如,这些请求被特别周密制订以(例如,具有参数或数据有效载荷来)测试攻击矢量,诸如,存储器缓冲器溢出、结构化查询语言(SQL)注入、特权提升、和任意代码执行。附加地,扫描仪可以通过评估来自网络服务的HTTP响应来诊断弱点的存在或不存在。 【专利附图】【附图说明】 图1A是依据实现方式的包括网络服务的环境的图示。 图1B-1D是依据各种实现方式的服务请求和服务响应的图示。 图2A是依据实现方式的服务接口分析过程的流程图。 图2B和2C是依据不同实现方式的请求模板的图示。 图3是图示了依据实现方式的服务接口分析系统的操作的数据流程图。 图4是依据另一个实现方式的服务接口分析过程的图示。 图5是依据实现方式的在计算系统处托管的服务接口分析系统的示意框图。 【具体实施方式】 一些扫描仪通过首先解释针对网络服务的服务接口的所标识的服务请求并且更改那些服务请求的参数以包括攻击数据集合(例如,旨在测试网络服务处的攻击矢量的数据集合),来执行网络服务的安全测试。例如,具有经更改的URI的服务请求(诸如,HTTP请求)可以被提供到网络服务以执行网络服务的安全测试。 一些网络服务的服务接口帮助这种安全测试。例如,服务接口可以基于包括http://www.service, com/directory/file?namel=valuel&name2=value2 形式的 URI 的月艮务请求。这个URI包括主机标识符“www.service, com”、到文件的路径“/directory/file”、以及查询串“namel=valuel&name2=value2”。典型地,查询串被转发到由路径标识的文件且由该文件处理。因此,查询串定义了对网络服务的输入或服务接口。这里,网络服务接受“valuel (值I)”作为被命名为“namel (名称I)”的输入参数,以及接受“value2 (值2)”作为被命名为“name2 (名称2)”的输入参数。 扫描仪可以相对容易地标识这种服务接口,因为定义这种服务接口的服务请求上的URI符合式样。更具体地,资源(这里是文件)由来自网络服务的主机标识符的路径标识,查询串由问号字符("?")标识,每个参数名称/值对通过和号字符("&")与其它参数名称/值对分离,并且任何参数名称/值对中的参数名称和值通过等号字符("=")分离。通过依据这个式样解释URI,扫描仪可以标识可被更改以执行网络服务的安全测试的参数(例如,名称/值对中的值)。 然而,其它网络服务的服务接口不帮助这种安全测试。例如,一些网络服务暴露或定义代表性状态转移(REST)服务接口。符合REST原理的服务接口(或暴露这种服务接口的网络服务)通常被称为“RESTful”。REST不是协议,而是架构或接口样式。许多RESTful服务接口的一个公共特性是:用于这种服务接口的URI包括作为URI的路径的元素而不是例如作为URI内的查询串的参数(或输入参数的值)。 例如,相比于来自上述内容的URI 不例(http: //www.service, com/directory/file?namel=valuel&name2=value2), RESTful服务接口可以基于包括下述形式中的任一个的URI的服务请求: http://www.service, com/directory/file/valuel/value2 ;http://www.service, com/valuel/directory/file/value2 ;http://www.service, com/value2/directory/file/valuel ;或http://www.service.com/valuel/value2/file.html。 这种服务接口对于扫码器来说在识别上是困难的,因为这种URI具有与静态URI相似的形式。S卩,在不具有服务接口的单独描述的情形下,URL http://www.service, com/valuel/value2/file.html可以被解释为引用由“www.service, com”标识的主机处的具有路径“/ValUel/valUe2/”的目录中的标题为“file, html”的静态网页,而不是作为包括两个参数(即,“valuel (值 I)” 和 “value2 (值 2)”)的 URI。 此外,这种URI不符合清晰的式样,扫描仪可以从所述清晰的式样标识可被更改以执行网络服务的安全测试的参数(或输入参数值)。此外,服务请求内的被提供到网络服务的参数可以位于服务请求的除在URI内以外的部分处。例如,服务请求内的被提供到网络服务的参数可以被包括在报头部分、主体部分、或服务请求的其它部分中。因此,在不具有来自了解安全测试将在其上被执行的网络服务的服务接口的测试工程师的协助的情形下,扫描仪通常不能够有效地采用这种服务接口执行网络服务的安全测试。 在此讨论的实现方式标识服务请求内的参数,该参数可以被更改以与网络服务的服务接口的描述无关地执行网络服务的安全测试。更具体地,例如,在此讨论的实现方式通过把服务请求中的被提供到网络服务的参数与针对那些服务请求的服务响应中的从网络服务提供的信息进行相关,来标识服务请求内的这种参数。例如,服务接口分析系统可以基于包括在服务请求中提供的参数的服务响应来定义一组请求模板(例如,服务请求或其部分,其中,包括或可能包括参数的服务请求的元素被标识)。所述请求模板然后可以被用于执行网络服务的安全测试。 图1是依据实现方式的包括网络服务的环境的图示。图1中所示的环境被逻辑地而不是物理地图示。例如,图1中所图示的环境的部件可以包括多个物理部件或单个物理部件。作为具体示例,计算系统110可以是单个计算机服务器、计算机服务器的机壳或机架、在计算机服务器或计算机服务器处组处托管的一组虚拟机、或负载平衡器以及计算机服务器的集群。 客户端140是计算系本文档来自技高网...
【技术保护点】
一种处理器可读介质,包括表示在处理器处被执行时促使所述处理器执行下述操作的指令的代码: 标识针对网络服务的服务请求的部分处的参数; 标识由网络服务响应于服务请求提供的服务响应内的参数;以及 定义请求模板,所述请求模板在与所述服务请求的部分相关联的所述请求模板的部分处包括占位符。
【技术特征摘要】
【国外来华专利技术】
【专利技术属性】
技术研发人员:E芬戈尔德,B菲赫尔,G克德姆,
申请(专利权)人:惠普发展公司,有限责任合伙企业,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。