Web servis güvenliğinde Token bazlı yeni yaklaşım ; Token based novel approach to Web service security

Günümüzde internetin yaygınlaşması ile kurumlar arasında verilerin iletilmesinde web servisler yoğun bir şekilde kullanılmaktadır. Web servisler ile veri transferlerinde üçüncü kişilerin erişimini önlemek için SSL / TLS kullanılmaktadır. Bu güvenlik çözümü sayesinde istemci ile sunucu arasındaki haberleşme güvenliği sağlanmış olunacaktır. Web servislerin üçüncü kişiler tarafından zafiyet saldırılarına uğradıkları gözlemlenmiştir. Bu atakların en popüler olanları XML Injection, XPath Injection, SQL Injection, Spoofing ve Denial of Service günümüzde de devam etmektedir. Bu saldırılara karşı bizim tavsiye etiğimiz XAdES tabanlı çözüm olacaktır. Burada karşılaştığımız en büyük problem; talep edilen Envelope’un istenilen XML formatı, Dijital imza ve imza türüne göre hazırlanıp sunucu tarafına iletilmesidir. Ayrıca XAdES oluşturmada en büyük problem, dijital imzalamada bulunan ve imzalama sırasında kullanılan Private Key’in satıcı kurum tarafından asimetrik olarak güvenlik nedenlerinden dolayı açık sunulmamasıdır. Genellikle kurumun sunduğu veya üçüncü şahıslar tarafından üretilen API’lere ihtiyaç duymaktadırlar. API’lerin kullandığı imzalama algoritmaları veya yapıların bazen yetersiz olduğu gözlemlenmiştir. Bundan dolayı kurumlar arasında özel kütüphaneler ile çözüme gidilmeye çalışılmıştır. Kurumlar arasındaki yapılan veri aktarımları istemci ile sunucu arasında Geliştirme, Test, Kalite Kontrol ve Canlı süreçlerinin zaman planlamasının yapılamamasından kaynaklanmaktadır. Ayrıca SOAP mesajının içerisinde yer alan Timestamp bilgisinin ömrünün çok kısa olması, konum, yer ve zaman farklılığın olmasından dolayı proje maliyetinin de hesaplanamadığı gözlemlenmiştir. Bu sistemlerin devlet kurumları tarafından zorlama yolu ile özel kurumlarda yaygınlaştırılması sağlanmıştır. ; Today, with the widespread use of the internet, data exchange between institutions has started to be done with web services. SSL / TLS was started to be used to prevent third party access in data transfers and only communication security between ...