Tesis
Security testing methodology for robustness analysis of Web services by fault injection = Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas
Metodologia de testes de segurança para análise de robustez de Web services por injeção de falhas
Registro en:
Autor
Palma Salas, Marcelo Invert, 1982-
Institución
Resumen
Orientador: Eliane Martins Dissertação (mestrado) - Universidade Estadual de Campinas, Instituto de Computação Resumo: Devido a sua natureza distribuída e aberta, os Web Services geram novos desafios de segurança da informação. Esta tecnologia Web, desenvolvida pela W3C e OASIS, é susceptível a ataques de injeção e negação de serviços. Desta forma, o atacante pode coletar e manipular informação para procurar vulnerabilidades nos serviços. Nesse estudo analisamos o uso do injetor de falhas (IF) WSInject, para emular ataques com testes de segurança nos Web Services. A motivação para o uso de um injetor de falhas, ao invés do uso de vulnerabilities scanners, que são comumente usados na prática para testar a segurança, foi permitir melhor cobertura dos ataques. Em um estudo preliminar, usando um vulnerability scanner não comercial, foi possível determinar: (i) os serviços, bem como seus parâmetros e suas operações que seriam mais interessantes de utilizar durante a injeção de falhas, por terem sido os que apresentaram maior número de vulnerabilidades; (ii) um conjunto de regras para analisar os resultados dos testes de segurança. Esses resultados preliminares serviram de guia para os testes usando o injetor de falhas. As falhas foram injetadas em Web Services reais, sendo que alguns implementaram mecanismos de segurança de acordo com o padrão Web Services Security (WS-Security), como credenciais de segurança (Security Tokens) Abstract: Due to its distributed and open nature, the Web Services give rise to new information security challenges. This technology, standardized by W3C and OASIS, is susceptible to both injection and denial of services (DoS) attacks. In this way, the attacker can collect and manipulate information in search of Web Services vulnerabilities. In this study we analyses the use of the WSInject fault injector, in order to emulate attacks with security tests on Web Services. The proposed approach makes use of WSInject Fault Injector to emulate attacks with Security Testing on Web Services. The motivation for using a fault injector, instead of vulnerabilities scanners, which are commonly used in practice for security testing, was to enable better coverage of attacks. In a preliminary study, using a non-commercial vulnerability scanner, it was possible to determine: (i) the Web Services to be tested as well as its parameters and operations more interesting to use during fault injection, by presenting the highest number of vulnerabilities; and (ii) a set of rules to analyze the results of security testing. These preliminary results served as a guide for the tests using the fault injector. The faults have been injected into real Web Services, and some of them have security mechanisms implemented, in compliance with the Web Services Security (WS-Security) with Security Tokens Mestrado Ciência da Computação Mestre em Ciência da Computação
Materias
Ítems relacionados
Mostrando ítems relacionados por Título, autor o materia.
-
A structural-semantic web service selection approach to improve retrievability of web services
Garriga, Martín; de Renzis, Alan Ismael; Lizarralde, Ignacio; Flores, Andrés Pablo; Mateos Diaz, Cristian Maximiliano; Cechich, Susana Alejandra; Zunino Suarez, Alejandro Octavio (Springer, 2018-12-27)Service-Oriented Computing promotes building applications by consuming and reusing Web Services. However, the selection of adequate Web Services given a client application is still a major challenge. The effort of assessing ... -
Best Practices for Describing, Consuming, and Discovering Web Services: A Comprehensive Toolset [Thomson ISI, IF JCR2012=1.008]
Rodriguez, Juan Manuel; Crasso, Marco Patricio; Mateos Diaz, Cristian Maximiliano; Zunino Suarez, Alejandro Octavio (John Wiley & Sons Ltd, 2013-06)The Service-Oriented Computing (SOC) paradigm has recently gained a lot of attention in the software industry, since SOC represents a novel and a fresh way of architecting distributed applications. SOC is usually materialized ... -
Revising WSDL documents: Why and How - Part II
Mateos Diaz, Cristian Maximiliano; Crasso, Marco Patricio; Zunino Suarez, Alejandro Octavio; Ordiales Coscia, José Luis (Institute of Electrical and Electronics Engineers, 2012-12)In a previous paper Crasso et al. (IC-CrassoRZC2010), we have shown that effectively discovering Web services is subject to avoiding a number of common design errors in publishers´ Web Service Description Language (WSDL) ...