【IT168 资讯】WebService是一种Web应用程序分支，其可以执行从简单的请求到复杂商务处理的任何功能。一旦部署以后，其他WebService应用程序可以发现并调用它部署的服务。WebService技术， 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件， 就可相互交换数据或集成。因此，众多的分布式、模块化应用程序和面向服务的应用集成都采用了WebService技术。

　　但WebService技术在为我们提供了开放性，跨平台性便利的同时，也为用户埋下了安全隐患。同时，当非法人员利用WebService在应用开发方面的漏洞成功入侵时，依靠传统的安全防护手段收效甚微。启明星辰FlowEye产品，是入侵分析领域的领军产品，对发现此类入侵行为非常直观、有效。下面以FlowEye在某用户网络中发现黑客利用WebService接口进行非法数据获取的案例来告诉大家，重视WebService接口安全已经刻不容缓。

　　在2016年的3月7日，在该用户网络中部署的启明星辰FlowEye系统中产生了一条告警事件，在宽阔的告警页面，孤零零的一条告警信息分外惹人注意。告警信息显示，来自新疆维吾尔自治区乌鲁木齐市的某个IP(43.224.52.23)与内网的XX.XXX.XX.134这个IP的7013端口产生了非法访问，流量达到3.394M。见图1：

▲

　　图1

　　这条告警信息马上引起了安全管理员的注意。安全管理员随之对告警信息展开查看，发现在2016-3-7 10:09:19到10:10:25这个时间段内，远在乌市的那个IP对内网这台服务器共进行了4次访问，见图2：

▲

　　图2

　　管理员继续查看每次访问的具体细节，

　　第1次：

　　黑客调用了一个WebService方法，调用的方法为searchversionForPlat，链接是

　　http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService这个内部地址，请求的内容为：<request><token></token></request>，服务器最终返回访问成功，并在返回的字符串中携带了下述下载链接：http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk，见图3：

▲

　　图3

　　第2次：

　　黑客直接对

　　http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk进行访问，但被系统强制中断了，见图4

▲

　　图4

　　第3次：

　　显然，黑客并没有死心，继续尝试对http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk进行访问。这次访问产生了3.454M的流量， APK被黑客下载成功。

　　第4次：

　　这次，黑客调用了另外一个方法，链接到了另外一个内部地址，系统返回访问成功，同时，系统的返回内容中携带了一串加密信息，见图5：

▲

　　图5

　　至此，管理员已经完全掌握了此次事件的内幕，我们将其完整还原一下：

　　该用户为方便运维人员的日常办公，开发了一套掌上APP，而XX.XXX.XX.134这个IP正是掌上APP系统的服务端。根据公司管理要求，能够安装掌上APP客户端的终端必须要经过认证，然后才能安装终端并进行掌上APP工作。然而由于某些原因，掌上APP客户端获取途径的WebService接口出现了两个，一个未经加密，一个经过了加密。此次黑客正是利用了未经加密的WebService接口，在未经APP服务端认证的情况下获取了掌上APP客户端的安装包，同时利用已经加密的WebService接口返回的信息和未经加密的接口获取的返回信息对比之后，获得了加密接口的密钥。

　　安全管理员通过此次FlowEye提供的告警信息，不仅发现了掌上APP系统存在的WebService应用接口漏洞，同时还发现了这套APP系统对客户端的认证方面还存在安全漏洞。

　　结束语：

　　启明星辰FlowEye系统，通过监控是否存在非法互联，实时帮助用户检测是否存在非法入侵行为，帮助用户快速定位内网被入侵的主机IP，并帮助用户分析被入侵的具体过程，找出了业务系统的风险点。FlowEye是入侵分析领域的一款非常有效的安全产品。