23-mavzu: Veb servislar xavfsizligi

23-mavzu: Veb servislar xavfsizligi 
Reja: 
1.
Veb-servis nima? 
2.
Veb servis standartlari 
3.
Veb servislarga tahdidlar 
4.
Himoya usullari 
Veb-servis nima? 
Veb-servislar (Veb-xizmatlar) 
bu dastur komponenti bo’lib, u orqali o’zaro 
kuchsiz bog’langan va kengayuvchan mustaqil dasturlarni yaratish mumkin. 
Veb-xizmat
- standart interfeyslarga ega bo'lgan veb adres bilan 
identifikatsiya qilinadigan dasturiy ta'minot tizimi. Veb-xizmat - bu servisga 
yo’naltirilgan dastur arxitekturasida bitta modul hisoblanadi. 
Spetsifikatsiya veb-xizmatlarni taqdim etish, qidirish va ma'lumot almashish uchun 
ishlatiladigan uchta asosiy standartni aniqlaydi - bu "SOA uchburchagi" deb 
nomlanadigan WSDL, UDDI va SOAP. 
buyurtmachi (veb servis mijozi, service requestor) 
bajaruvchi (servisni taqdim etuvchi, service 
provider) 
katalog (registr, service broker) 
Veb servis ishlab chiqilgandan keyin veb servis bajaruvchisi uni katalogga 
registrasiya qiladi, keyinchalik mijozlardan uni katalogdan topib foydalanishlari 
mumkin. Buyurtmachi veb servisni katalogdan topgandan keyin uning WSDL 
spesifikasiyani import qiladi. WSDL so’rovlar va javoblar formatini aniqlaydi. 
Undan buyurtmachi va bajaruvchi o’zaro aloqada foydalanadi.
 
Veb servis standartlari 
O’zaro aloqada quyidagi standartlar qo’llaniladi: 
•
XML (eXtensible Markup Language) - strukturalangan ma'lumotlarni saqlash 
va uzatish uchun mo’jallangan format; 
•
SOAP (Simple Object Access Protocol) - Ob'ektlarga murojaat qilishning 
oddiy protokoli 
•
WSDL (Web Services Description Language) – XML asosidagi veb-
xizmatning tashqi interfeyslarini tavsiflash uchun til; 
•
UDDI (Universal Discovery, Description and Integration) - aniqlash, 
tavsiflash va integratsiya uchun universal interfeys.

23.1 rasm. Texnologiyalarning o’zaro aloqasi 
23.2 rasm. Veb servis mijozi va taqdim etuvchisi(server qismi) bilan o’zaro aloqasi 
Veb servislarga tahdidlar 
•
“Xizmatdan voz kechish” hujumi oqibatida veb servisning ishdan chiqishi 
•
Zararli harakatlarni amalga oshirish yoki keyinchalik foydalanish uchun 
ma'lumotlarni to'plash maqsadida veb-saytni buzish yoki uning mazmunini 
o'zgartirish. 
•
Servis egasi yoki foydalanuvchilariga hujum uyushtirish maqsadida zararli 
kodni veb-saytga ko'rinmaydigan qilib joylashtirish. 
•
Mijoz 
ma'lumotlari 
bilan 
firibgarlik 
(CRM 
ma'lumotlarini 
o'g'irlash/o'zgartirish, billing va boshqalar). 
•
Veb-resursdan ma'lumotlarning tarqalishi - foydalanuvchilarning shaxsiy 
ma'lumotlarini, ularning bank kartalari to'g'risidagi ma'lumotlarni o'g'irlash. 
Himoya usullari 
•
Ichki axborot tizimlari, ma'lumotlar bazalari va tashqi veb-interfeyslarning 
chegaralarini belgilash. 
•
Resurslardan foydalanishni nazorat qilish, ularni audit qilish. 

•
Veb-ilova darajasida hujumlardan himoya qilish. 
•
Ma'lumotlar bazasi so'rovlari darajasida hujumlardan himoya qilish. 
•
Foydalanuvchi va so'rovlar darajasida anomaliyalarni qidirish va tahlil qilish. 
23.3 rasm Veb servislarni turli darajalarda himoyasini ta’minlash