WebService是一種Web應用程序分支，其可以執行從簡(jiǎn)單的請求到復雜商務(wù)處理的任何功能。一旦部署以后，其他WebService應用程序可以發(fā)現并調用它部署的服務(wù)。WebService技術(shù)， 能使得運行在不同機器上的不同應用無(wú)須借助附加的、專(zhuān)門(mén)的第三方軟件或硬件， 就可相互交換數據或集成。因此，眾多的分布式、模塊化應用程序和面向服務(wù)的應用集成都采用了WebService技術(shù)。

但WebService技術(shù)在為我們提供了開(kāi)放性，跨平臺性便利的同時(shí)，也為用戶(hù)埋下了安全隱患。同時(shí)，當非法人員利用WebService在應用開(kāi)發(fā)方面的漏洞成功入侵時(shí)，依靠傳統的安全防護手段收效甚微。啟明星辰FlowEye產(chǎn)品，是入侵分析領(lǐng)域的領(lǐng)軍產(chǎn)品，對發(fā)現此類(lèi)入侵行為非常直觀(guān)、有效。下面以FlowEye在某用戶(hù)網(wǎng)絡(luò )中發(fā)現黑客利用WebService接口進(jìn)行非法數據獲取的案例來(lái)告訴大家，重視WebService接口安全已經(jīng)刻不容緩。

在2016年的3月7日，在該用戶(hù)網(wǎng)絡(luò )中部署的啟明星辰FlowEye系統中產(chǎn)生了一條告警事件，在寬闊的告警頁(yè)面，孤零零的一條告警信息分外惹人注意。告警信息顯示，來(lái)自新疆維吾爾自治區烏魯木齊市的某個(gè)IP（43.224.52.23）與內網(wǎng)的XX.XXX.XX.134這個(gè)IP的7013端口產(chǎn)生了非法訪(fǎng)問(wèn)，流量達到3.394M。見(jiàn)圖1：

圖1

這條告警信息馬上引起了安全管理員的注意。安全管理員隨之對告警信息展開(kāi)查看，發(fā)現在2016-3-7 10:09:19到10:10:25這個(gè)時(shí)間段內，遠在烏市的那個(gè)IP對內網(wǎng)這臺服務(wù)器共進(jìn)行了4次訪(fǎng)問(wèn)，見(jiàn)圖2：

圖2

管理員繼續查看每次訪(fǎng)問(wèn)的具體細節，

第1次：

黑客調用了一個(gè)WebService方法，調用的方法為searchversionForPlat，鏈接是

http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService這個(gè)內部地址，請求的內容為：<request><token></token></request>，服務(wù)器最終返回訪(fǎng)問(wèn)成功，并在返回的字符串中攜帶了下述下載鏈接：http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk，見(jiàn)圖3：

圖3

第2次：

黑客直接對

http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進(jìn)行訪(fǎng)問(wèn)，但被系統強制中斷了，見(jiàn)圖4

圖4

第3次：

顯然，黑客并沒(méi)有死心，繼續嘗試對http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進(jìn)行訪(fǎng)問(wèn)。這次訪(fǎng)問(wèn)產(chǎn)生了3.454M的流量， APK被黑客下載成功。

第4次：

這次，黑客調用了另外一個(gè)方法，鏈接到了另外一個(gè)內部地址，系統返回訪(fǎng)問(wèn)成功，同時(shí)，系統的返回內容中攜帶了一串加密信息，見(jiàn)圖5：

圖5

至此，管理員已經(jīng)完全掌握了此次事件的內幕，我們將其完整還原一下：

該用戶(hù)為方便運維人員的日常辦公，開(kāi)發(fā)了一套掌上APP，而XX.XXX.XX.134這個(gè)IP正是掌上APP系統的服務(wù)端。根據公司管理要求，能夠安裝掌上APP客戶(hù)端的終端必須要經(jīng)過(guò)認證，然后才能安裝終端并進(jìn)行掌上APP工作。然而由于某些原因，掌上APP客戶(hù)端獲取途徑的WebService接口出現了兩個(gè)，一個(gè)未經(jīng)加密，一個(gè)經(jīng)過(guò)了加密。此次黑客正是利用了未經(jīng)加密的WebService接口，在未經(jīng)APP服務(wù)端認證的情況下獲取了掌上APP客戶(hù)端的安裝包，同時(shí)利用已經(jīng)加密的WebService接口返回的信息和未經(jīng)加密的接口獲取的返回信息對比之后，獲得了加密接口的密鑰。

安全管理員通過(guò)此次FlowEye提供的告警信息，不僅發(fā)現了掌上APP系統存在的WebService應用接口漏洞，同時(shí)還發(fā)現了這套APP系統對客戶(hù)端的認證方面還存在安全漏洞。

結束語(yǔ)：

啟明星辰FlowEye系統，通過(guò)監控是否存在非法互聯(lián)，實(shí)時(shí)幫助用戶(hù)檢測是否存在非法入侵行為，幫助用戶(hù)快速定位內網(wǎng)被入侵的主機IP，并幫助用戶(hù)分析被入侵的具體過(guò)程，找出了業(yè)務(wù)系統的風(fēng)險點(diǎn)。FlowEye是入侵分析領(lǐng)域的一款非常有效的安全產(chǎn)品。