Servicios Web

Dada la particularidad de los servicios web, se ha creado este apartado para que, además de tener en cuenta todas las indicaciones de seguridad dadas para el control de acceso y la autenticación, la codificación y validación de entrada/salida, el cifrado, etc. se tengan en cuenta otras actuaciones concretas para garantizar la seguridad en el uso de servicios web: la integridad, el no repudio y la confidencialidad de los mensajes, así como habilitar mecanismos para la identificación y autorización de servicios y usuarios.

Un Servicio Web es una aplicación que reside en un servidor centralizado y que utiliza una serie de protocolos estándares controlados por las organizaciones W3C, OASIS y el organismo WS-I como, por ejemplo, Simple Object Access Protocol (SOAP), Web Service Definition Language (WSDL) y Universal Description Discovery and Integration (UDDI), para intercambiar datos e información entre otras aplicaciones, independientemente del lenguaje de programación en el que estén desarrolladas y de la plataforma dónde se ejecuten.

• W3C (World Wide Web Consortium) y OASIS (Organization for the Advancement of Structured Information Standards) son los comités responsables de la arquitectura y reglamentación de los Servicios Web.
• WS-I es el organismo creado para mejorar la interacción y operatividad entre diferentes implementaciones de Servicios Web.

Un Servicio Web dispone de un interfaz público (API) descrito en un formato procesable por cualquier equipo o sistema llamado WSDL. WSDL es, además, el lenguaje de programación de esa interfaz pública que está basado en XML y contiene los requisitos funcionales necesarios para establecer una comunicación con el Servicio Web. El proveedor de los servicios es responsable de establecer y publicar los requisitos de seguridad que crea adecuados para proteger su servicio.

Un equipo cliente que se conecta a un Servicio Web puede leer ese fichero WSDL para determinar qué funciones están disponibles en el servidor. Los tipos de datos especiales se incluyen dentro del archivo WSDL en forma de XML Schema y el cliente utiliza SOAP para hacer la llamada a una de las funciones listadas en el WSDL.

• SOAP es el protocolo que define cómo se establece el intercambio de información mediante XML
• UDDI es el protocolo empleado para publicar la información del Servicio Web y que permite comprobar qué Servicios Web están disponibles.

Los Servicios Web se utilizan normalmente bajo el protocolo HTTP o HTTPS en los puertos TCP 80 y 443, respectivamente.

Desde el punto de vista de la seguridad, un Servicio Web presenta los mismos problemas que cualquier otra aplicación Web presente y accesible por Internet:

• Robo de sesiones
• SQL Injection
• XML Injection
• XPATH Injection
• Denegación de Servicio (DoS)
• Cross Site Scripting (XSS)
• Errores de configuración
• etc.

Los archivos XML que conforman la estructura de los ficheros WSDL y mensajes SOAP, que se utilizan en el funcionamiento de un Servicio Web, se intercambian entre el equipo cliente del usuario, el servidor frontal Web y el servidor de aplicaciones en forma de formularios en una petición SOAP.

Incluso se ejecutan en el servidor Web y son una puerta de entrada para diferentes ataques y vulnerabilidades Web. Es importante destacar que casi todos los Servicios Web están conectados a bases de datos.

• Seguridad