[发明专利]网络服务接口分析

说明书

背景技术

安全测试被用于针对弱点或攻击矢量评价网络服务（诸如，web应用）。在安全测试的一种方法中，安全测试应用（或扫描仪）标识网络服务的服务接口（例如，统一资源标识符（URI），诸如，应用在其处接受输入的统一资源定位符（URL））。网络服务的服务接口有时被称为网络服务的攻击表面。

扫描仪通过分析与网络服务相关的网页以标识引用网络服务的URI（诸如，包括网络服务的主机标识符的URI），来标识网络服务的服务接口。在一些实现方式中，扫描仪还把超文本传送协议（HTTP）请求提供到网络服务并评估来自所述网络服务的HTTP响应，从而确定所述网络服务是否对这些URI处的请求作出响应，以及响应于这种请求返回的数据的特性。

 然后，扫描仪基于服务接口执行攻击，诸如，被导向到网络服务在其处接受输入的URI的HTTP请求。例如，这些请求被特别周密制订以（例如，具有参数或数据有效载荷来）测试攻击矢量，诸如，存储器缓冲器溢出、结构化查询语言（SQL）注入、特权提升、和任意代码执行。附加地，扫描仪可以通过评估来自网络服务的HTTP响应来诊断弱点的存在或不存在。

附图说明

图1A是依据实现方式的包括网络服务的环境的图示。

图1B-1D是依据各种实现方式的服务请求和服务响应的图示。

图2A是依据实现方式的服务接口分析过程的流程图。

图2B和2C是依据不同实现方式的请求模板的图示。

图3是图示了依据实现方式的服务接口分析系统的操作的数据流程图。

图4是依据另一个实现方式的服务接口分析过程的图示。

图5是依据实现方式的在计算系统处托管的服务接口分析系统的示意框图。

具体实施方式

一些扫描仪通过首先解释针对网络服务的服务接口的所标识的服务请求并且更改那些服务请求的参数以包括攻击数据集合（例如，旨在测试网络服务处的攻击矢量的数据集合），来执行网络服务的安全测试。例如，具有经更改的URI的服务请求（诸如，HTTP请求）可以被提供到网络服务以执行网络服务的安全测试。

一些网络服务的服务接口帮助这种安全测试。例如，服务接口可以基于包括http://www.service.com/directory/file?name1=value1&name2=value2形式的URI的服务请求。这个URI包括主机标识符“www.service.com”、到文件的路径“/directory/file”、以及查询串“name1=value1&name2=value2”。典型地，查询串被转发到由路径标识的文件且由该文件处理。因此，查询串定义了对网络服务的输入或服务接口。这里，网络服务接受“value1（值1）”作为被命名为“name1（名称1）”的输入参数，以及接受“value2（值2）”作为被命名为“name2（名称2）”的输入参数。

扫描仪可以相对容易地标识这种服务接口，因为定义这种服务接口的服务请求上的URI符合式样。更具体地，资源（这里是文件）由来自网络服务的主机标识符的路径标识，查询串由问号字符（?）标识，每个参数名称/值对通过和号字符（&）与其它参数名称/值对分离，并且任何参数名称/值对中的参数名称和值通过等号字符（=）分离。通过依据这个式样解释URI，扫描仪可以标识可被更改以执行网络服务的安全测试的参数（例如，名称/值对中的值）。

然而，其它网络服务的服务接口不帮助这种安全测试。例如，一些网络服务暴露或定义代表性状态转移（REST）服务接口。符合REST原理的服务接口（或暴露这种服务接口的网络服务）通常被称为“RESTful”。REST不是协议，而是架构或接口样式。许多RESTful服务接口的一个公共特性是：用于这种服务接口的URI包括作为URI的路径的元素而不是例如作为URI内的查询串的参数（或输入参数的值）。

 例如，相比于来自上述内容的URI示例（http://www.service.com/directory/file?name1=value1&name2=value2），RESTful服务接口可以基于包括下述形式中的任一个的URI的服务请求：

http://www.service.com/directory/file/value1/value2；

http://www.service.com/value1/directory/file/value2；