WSIVM: modelo de validação de entradas de dados para Web Services

Dissertação (mestrado) - Universidade Federal de Santa Catarina, Centro Tecnológico, Programa de Pós-Graduação em Ciência da Computação, Florianópolis, 2010O uso da Arquitetura SOA baseado principalmente na utilização de Web Services está em crescimento constante, porém, devido às dificuldades encontradas quanto aos aspectos de Segurança, dentre outros fatores, este crescimento têm sido menor do que o esperado quando surgiu. O uso de Web Services herdou muitos problemas de segurança conhecidos em Aplicações Web e trouxe outros novos, sendo que a má validação de entradas de dados pode ser considerada a causa da maioria dos ataques bem sucedidos ocorridos nestes ambientes. Em SOA, com a necessidade de confiança em dados de terceiros para a integração e reutilização de serviços, a validação de entradas de dados tornou-se ainda mais importante. Este trabalho demonstra um modelo para validação de entradas de dados para Web Services que pode ser utilizado para impedir ataques como Cross-site Scripting e SQL injection através da especificação de modelos pré-definidos de entradas válidas. O modelo proposto, denominado WSIVM (Web Services Input Validation Model) possui um XML Schema, uma Especificação XML e um módulo que faz a validação das entradas de acordo com a especificação. Ainda apresenta um estudo de caso de seu uso demonstrando a sua eficácia e desempenho

An Auto-tuning Sanitizing System for Mitigating Injection Flaws

Abstract Injection attacks are dangerous and ubiquitous, contributing enormously to some of the most elaborate Web hacks. Enforcing proper input validation is an effective countermeasure to improve injection flaws. Unless a web application has a strong, centralized mechanism for validating all input from HTTP requests, injection flaws are very likely to exist. However, improper constraining rules may induce some detection error. False negatives may render security risks and false positives will cause improper limits of input characters. In this paper, we design an auto-tuning system to help validating input for each vulnerable injection point. A proper validation rule can be automatically generated through an auto-tuning mechanism. The experimental results show that the system can effectively protect against injection attacks and lower false positives while compared with traditional methods