WSIVM: modelo de validação de entradas de dados para Web Services

Abstract

O uso da Arquitetura SOA baseado principalmente na utilização de Web Services está em crescimento constante, porém, devido às dificuldades encontradas quanto aos aspectos de Segurança, dentre outros fatores, este crescimento têm sido menor do que o esperado quando surgiu. O uso de Web Services herdou muitos problemas de segurança conhecidos em Aplicações Web e trouxe outros novos, sendo que a má validação de entradas de dados pode ser considerada a causa da maioria dos ataques bem sucedidos ocorridos nestes ambientes. Em SOA, com a necessidade de confiança em dados de terceiros para a integração e reutilização de serviços, a validação de entradas de dados tornou-se ainda mais importante. Este trabalho demonstra um modelo para validação de entradas de dados para Web Services que pode ser utilizado para impedir ataques como Cross-site Scripting e SQL injection através da especificação de modelos pré-definidos de entradas válidas. O modelo proposto, denominado WSIVM (Web Services Input Validation Model) possui um XML Schema, uma Especificação XML e um módulo que faz a validação das entradas de acordo com a especificação. Ainda apresenta um estudo de caso de seu uso demonstrando a sua eficácia e desempenho.