Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen

Abstract

Nicht zuletzt auch wegen ihrer maschinenlesbaren Definition sind Web Services ein verbreitetes Mittel, um die Kommunikation zwischen einem Client und einem Server oder zwischen zwei Servern zu definieren. Gerne werden Clients auch für Mobiltelefone implementiert, wobei oftmals die Mächtigkeit des WS-Stack außer Acht gelassen wird. Dieser Umstand muss nicht zwingend problematisch sein, kann jedoch unter gewissen Umständen schwerwiegende sicherheitsrelevante Schwachstellen in sonst unproblematische Systeme integrieren. Um zu evaluieren, ob Probleme solcher Art gegeben sind, bietet sich ein methodisches Vorgehen an; ebenso ist ein reproduzierbares Vorgehen von großem Vorteil, wenn ein Vergleich von Systemen erfolgen soll. Speziell, wenn solch eine Sicherheitsüberprüfung als Dienstleistung angeboten wird, kann eine leicht anzuwende Methodik die Qualität der Leistung garantieren. Deshalb wird hier der Entwurf einer Methodik zum Testen der Sicherheit von Web-Service-basierten Systemen konzipiert, vorgestellt und deren Anwendung an Hand einiger Web Service Tests dargestellt und evaluiert.