23-mavzu: Veb servislar xavfsizligi
Reja:
1.
Veb-servis nima?
2.
Veb servis standartlari
3.
Veb servislarga tahdidlar
4.
Himoya
usullari
Veb-servis nima?
Veb-servislar (Veb-xizmatlar)
bu dastur komponenti bo’lib, u orqali o’zaro
kuchsiz bog’langan va kengayuvchan mustaqil dasturlarni yaratish mumkin.
Veb-xizmat
- standart interfeyslarga ega bo'lgan veb adres bilan
identifikatsiya qilinadigan dasturiy ta'minot tizimi.
Veb-xizmat - bu servisga
yo’naltirilgan dastur arxitekturasida bitta modul hisoblanadi.
Spetsifikatsiya veb-xizmatlarni taqdim etish, qidirish va ma'lumot almashish uchun
ishlatiladigan uchta asosiy standartni aniqlaydi - bu "SOA uchburchagi" deb
nomlanadigan WSDL, UDDI va SOAP.
buyurtmachi (veb servis mijozi, service requestor)
bajaruvchi (servisni taqdim etuvchi, service
provider)
katalog (registr, service broker)
Veb servis ishlab chiqilgandan keyin veb servis bajaruvchisi uni katalogga
registrasiya qiladi, keyinchalik mijozlardan uni katalogdan
topib foydalanishlari
mumkin. Buyurtmachi veb servisni katalogdan topgandan keyin uning WSDL
spesifikasiyani import qiladi. WSDL so’rovlar va javoblar formatini aniqlaydi.
Undan buyurtmachi va bajaruvchi o’zaro aloqada foydalanadi.
Veb servis standartlari
O’zaro aloqada quyidagi standartlar qo’llaniladi:
•
XML (eXtensible Markup Language) - strukturalangan ma'lumotlarni saqlash
va uzatish uchun mo’jallangan format;
•
SOAP (Simple Object Access Protocol) - Ob'ektlarga murojaat qilishning
oddiy protokoli
•
WSDL (Web Services Description Language) –
XML asosidagi veb-
xizmatning tashqi interfeyslarini tavsiflash uchun til;
•
UDDI (Universal Discovery, Description and Integration)
- aniqlash,
tavsiflash va integratsiya uchun universal interfeys.
23.1 rasm. Texnologiyalarning o’zaro aloqasi
23.2 rasm. Veb servis mijozi va taqdim etuvchisi(server qismi) bilan o’zaro aloqasi
Veb servislarga tahdidlar
•
“Xizmatdan voz kechish” hujumi oqibatida veb servisning ishdan chiqishi
•
Zararli harakatlarni amalga oshirish yoki keyinchalik
foydalanish uchun
ma'lumotlarni to'plash maqsadida veb-saytni buzish yoki uning mazmunini
o'zgartirish.
•
Servis egasi yoki foydalanuvchilariga hujum uyushtirish
maqsadida zararli
kodni veb-saytga ko'rinmaydigan qilib joylashtirish.
•
Mijoz
ma'lumotlari
bilan
firibgarlik
(CRM
ma'lumotlarini
o'g'irlash/o'zgartirish, billing va boshqalar).
•
Veb-resursdan ma'lumotlarning tarqalishi - foydalanuvchilarning shaxsiy
ma'lumotlarini, ularning bank kartalari to'g'risidagi ma'lumotlarni o'g'irlash.
Himoya usullari
•
Ichki
axborot tizimlari, ma'lumotlar bazalari va tashqi veb-interfeyslarning
chegaralarini belgilash.
•
Resurslardan foydalanishni nazorat qilish, ularni audit qilish.