Bundesamt für Sicherheit in der Informationstechnik

G 5.184 Informationsgewinnung über Web-Services

Damit in einer Service-orientierten Architektur ( SOA ) Web-Services zur Erfüllung übergreifender Aufgaben dynamisch kombiniert werden können (Orchestrierung), stellen die einzelnen Web-Services Informationen über sich und ihre Schnittstellen in standardisierter Form als WSDL -Dokumente bereit (Web Service Description Language). Die Consumer können dadurch in standardisierter, maschinenlesbarer Form alle nötigen Informationen zum Aufruf des Dienstes abrufen. Die WSDL -Dokumente werden in einer SOA über ein zentrales Verzeichnis (engl. Repository) bereitgestellt.

Die aus diesen Schnittstellenbeschreibungen ersichtlichen Informationen können jedoch auch für Angreifer wertvolle Hinweise enthalten und damit Angriffe auf die Dienste vorbereiten oder erleichtern. Da WSDL -Dateien oft automatisiert aus den verwendeten Entwicklerframeworks generiert werden, enthalten sie häufig mehr Angaben, als für den Einsatz tatsächlich benötigt werden.

Angreifer, die sich gegen Web-Services richten, beginnen häufig mit einer Erkundungsphase, in der der Angreifer versucht, WSDL-Dateien zu den angebotenen Services abzurufen und auszuwerten, zum Beispiel mit Hilfe einer Suchmaschine ( WSDL Google Hacking).

Zu den Informationen, die für einen Angreifer von Interesse sein können, gehören:

  • Namen von aufrufbaren Methoden und zugehörige Parameter. Gerade bei automatisch generierten WSDL -Dokumenten sind hier oft auch Methoden enthalten, die für einen Aufruf von außen gar nicht vorgesehen sind. Angreifer können durch den direkten Aufruf solcher Methoden versuchen, Sicherheitsfunktionen wie Berechtigungsprüfungen zu umgehen.
  • Informationen über verwendete Namensschemata. So können Angreifer aus den Namen von veröffentlichten Methoden versuchen, die Namen weiterer, nicht veröffentlichter Methoden zu erraten und diese direkt aufzurufen. Das Ausprobieren nicht veröffentlichter, aber aus veröffentlichten Namen abgeleiteter Methoden wird auch WSDL Scanning oder WSDL Enumeration genannt.

Mit den Informationen über die erreichbaren (veröffentlichten oder abgeleiteten) Methoden und Aufrufparameter kann der Angreifer versuchen, nicht für ihn bestimmte Funktionen direkt aufzurufen. Weiter kann er aber auch, durch die Veränderung von Aufrufparametern, Fehlerzustände provozieren, um zum Beispiel aus den Fehlermeldungen weitere Rückschlüsse auf die technische Realisierung zu ziehen (zum Beispiel zu Datenbanktabellen und Feldnamen, verwendeten Bibliotheken und Frameworks). Aus den Fehlermeldungen lässt sich unter Umständen auch schließen, wie der Service die übermittelten Parameter prüft. Auf Grundlage der Erkenntnisse können dann weitere Angriffe (zum Beispiel Injection-Angriffe) gestartet werden.

Eine weitere Angriffsvariante besteht darin, die URL zum Aufruf eines Web-Service zu manipulieren, um dadurch andere, nicht zum Aufruf von außen bestimmte Services zu finden und auszunutzen (zum Beispiel durch Wechsel des Server-Verzeichnisses mit Directory Traversal). Solche Angriffe drohen insbesondere bei REST-Schnittstellen durch die semantische Bedeutung der URL für den Diensteaufruf.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK