¿Hay alguna forma de diferenciar entre una solicitud web normal y una solicitud de servicio web?

Question

¿Hay alguna forma de diferenciar entre una solicitud web normal y una solicitud de servicio web?

#1 de AJ Henderson (1 votos)
#2 de KeithS (0 votos)

2

Tengo una capa de seguridad para proporcionar la seguridad de las solicitudes que llegan a mi servidor. Para todas las solicitudes web que vienen en una página de inicio de sesión se muestra si la cookie no está presente. Ahora estoy presentando solicitudes de servicio web a este servidor que también se parecen a las solicitudes web normales. ¿Hay alguna forma de diferenciar estas solicitudes en la capa de seguridad para enrutarlas a diferentes implementaciones de seguridad?

Tanto las solicitudes web como las solicitudes de servicio web vienen como solicitudes http básicas.

web-service

pregunta Sai Pavan 18.12.2012 - 13:02

fuente

2 respuestas

Lea otras preguntas en las etiquetas web-service

Invertir ataques de shell e intercepciones de proxy ... hay algo gastado? Cómo encontrar eventos IPS en sonicwall syslog

score 1 · Answer 1

Supongo que la pregunta clave es cómo se asegura su servicio web. Si está utilizando una conexión http para un servicio web, entonces necesitará bastante seguridad en las solicitudes y respuestas (como un HMAC incremental firmado) para validar la integridad del mensaje. De cualquier manera, la mejor apuesta es probablemente mirar la estructura de la solicitud en sí.

Sin embargo, es realmente difícil darle una buena respuesta sin entender más sobre cómo es capaz de manejar el enrutamiento del tráfico. Podría ser tan simple como configurar dos sitios diferentes, uno para gestionar las solicitudes web y otro para gestionar el servicio web. Entonces cada sitio podría tener diferentes reglas asignadas. Si está utilizando un dispositivo de hardware en la parte delantera, dependerá de las capacidades de ese dispositivo.

score 0 · Answer 2

La respuesta, conceptualmente, es muy sencilla: las solicitudes de servicio web SOAP serán solicitudes HTTP GET con un encabezado Aceptar de "application / soap + xml", o serán un POST HTTP con un tipo de contenido de "application / jabon + xml ". Ambos tendrán un URI de solicitud que debe ser identificable, ya sea por el archivo solicitado o simplemente por conocer la arquitectura de su propio sitio, como un punto final de servicio.

Sin embargo, la forma exacta en que verificas estas cosas depende de la arquitectura de tu sistema. En un sistema traducido por URI (como los sitios StackExchange) o simplemente en un entorno en el que las solicitudes de directorios son la norma y se dirigen a páginas predeterminadas, el encabezado Request-URI no será de ayuda a menos que usted codifique la ubicación. de cada servicio (o colóquelos en un subdirectorio de "servicios" que sea fácil de verificar). Si alguna o todas las solicitudes se realizan a través de un canal seguro como SSL / TLS, su capa de inspección / seguridad tiene que estar detrás de su punto final hacia el túnel seguro, de lo contrario, solo está viendo el alboroto. Estos son solo un par de problemas potenciales con solo inspeccionar las solicitudes en el borde.