第7章 攻击XML Web服务

从XML Web服务被满怀热情地引入计算机世界已经过去了多年,这种服务得到了互联网巨擘包括Microsoft、IBM和Sun的支持。开始,Web服务主要是作为使异构的Web应用轻松地互相通信,并且最小化人工干预的一种“胶水”。正如Microsoft所描述的那样,Web服务将提供“一种低耦合的、语言无关的、独立于平台的,在组织内部、跨越企业和跨越互联网的应用链接方法”。现在,Web服务已经超越了多种应用通信的领域,广泛地用于各种应用,包括Web 2.0应用和云计算之类的新技术。

Web服务在互联网上的广泛使用已经使得Web服务安全问题比之前更加迫切。Web服务的安全性并不是天生地比其他技术差(或者好),但是由于它们很容易使用户和潜在的攻击者得到应用接口,安全的部署和实施也就关系重大。本章将从Web服务的实质开始,然后关注于攻击它的方式。