Assessing Web Services Robustness and Security Using Malicious Data Injection

Abstract

A tecnologia Web Services permite ligar aplicações criadas em diferentes plataformas, tendo atingido grande popularidade. Nos últimos anos, o uso desta tecnologia tem aumentado consideravelmente, não só como suporte a ambientes críticos de negócio, mas também em ambientes onde a robustez e segurança dos serviços é vital. Nestes ambientes, a presença de um problema de robustez ou uma vulnerabilidade de segurança pode traduzir-se em perdas a nível financeiro e/ou na reputação do fornecedor do serviço. A falta de metodologias e ferramentas adequadas para a deteção destes problemas é um dos fatores que contribui para a situação atual, onde os serviços falham na presença de entradas inválidas ou maliciosas. Nesta dissertação é discutido o estado da arte em robustez e segurança em Web Services sendo proposta uma abordagem para deteção de falhas desta área. Esta baseia-se na introdução, em tempo de execução, de um conjunto de inputs inválidos e maliciosos num serviço sob teste. Contrariamente à abordagem clássica para deteção destes problemas, as interfaces das aplicações sob teste na abordagem apresentada, são as de contacto com serviços externos, em particular com a base de dados. Deste trabalho resulta também a criação de uma ferramenta de testes, possibilitando a classificação do nível de segurança e robustez de um serviço.

The Web Services technology allows us to connect applications built on different platforms, reaching great popularity. In the last years, the use of this technology has increased considerably, not only to support the critical business environments, but also in environments where robustness and safety of services is vital. The presence of a robustness problem or a security vulnerability can be translated into substantial losses in financial terms and/or reputation of the service provider. The lack of methodologies and tools for the detection of these problems is one of the factors contributing to the current situation where services fail in the presence of invalid or malicious inputs. This dissertation discusses the state of the art of robustness and security in Web Services and proposes an approach for detection of this type of situations. This is based on the introduction, at runtime, of a set of invalid and malicious inputs to a service under test. Unlike the classical approach for detecting these problems, the interfaces of the applications under test in the developed approach, are those that contact with external services, in particular its interface with the database. This work also involves the creation of a testing tool, allowing the classification of the level of robustness and security of a service.