Sicurezza per i Web Services

di Alessandro Vinciarelli

Pubblicato 4 Novembre 2008
Aggiornato 12 Febbraio 2018 20:48

I Web Services hanno sicuramente rivoluzionato il modo di pensare al software in rete. Va infatti dato atto a questa tecnologia di aver offerto un nuovo meccanismo di condivisione di servizi da parte di entità distribuite in rete.

La piccola serie di articoli che andremo a leggere non vuole entrare nel merito di come un Web Service può o deve essere sviluppato, né tanto meno dei vantaggi o degli svantaggi che questo tipo di tecnologia ha portato nel mondo dell’informatica.

L’obiettivo principale è infatti quello di discutere sul tema della sicurezza che, per motivi strutturali, è differente da quello riferito ad una qualsiasi altra applicazione Web.

Partendo dal presupposto che i WS sono costruiti su tecnologie basate sullo scambio di messaggi, vediamo quali sono le minacce di sicurezza a cui è necessario prestare attenzione:

  • content-borne threat, che rappresentano le minacce al corpo del codice XML;
  • schema poisoning, che consiste nella manipolazione dello schema dei Web Services;
  • XML parameter tampering, una specializzazione del primo punto che permette di inserire contenuto non autorizzato all’interno dei messaggi;
  • XML routing detours, che prevede la ridirezione dei dati indirizzati dal path XML.

A queste si aggiungono chiaramente tutte le tipologie di minacce tradizionali come l’alterazione del messaggio, le minacce sulla riservatezza dei contenuti, attacchi di tipo man-in-the-middle, furto d’identità, denial of service, ecc.