WebService是一種Web應用程序分支，其可以執行從簡單的請求到復雜商務處理的任何功能。一旦部署以后，其他WebService應用程序可以發現并調用它部署的服務。WebService技術， 能使得運行在不同機器上的不同應用無須借助附加的、專門的第三方軟件或硬件， 就可相互交換數據或集成。因此，眾多的分布式、模塊化應用程序和面向服務的應用集成都采用了WebService技術。

但WebService技術在為我們提供了開放性，跨平臺性便利的同時，也為用戶埋下了安全隱患。同時，當非法人員利用WebService在應用開發方面的漏洞成功入侵時，依靠傳統的安全防護手段收效甚微。啟明星辰FlowEye產品，是入侵分析領域的領軍產品，對發現此類入侵行為非常直觀、有效。下面以FlowEye在某用戶網絡中發現黑客利用WebService接口進行非法數據獲取的案例來告訴大家，重視WebService接口安全已經刻不容緩。

在2016年的3月7日，在該用戶網絡中部署的啟明星辰FlowEye系統中產生了一條告警事件，在寬闊的告警頁面，孤零零的一條告警信息分外惹人注意。告警信息顯示，來自新疆維吾爾自治區烏魯木齊市的某個IP（43.224.52.23）與內網的XX.XXX.XX.134這個IP的7013端口產生了非法訪問，流量達到3.394M。見圖1：

圖1

這條告警信息馬上引起了安全管理員的注意。安全管理員隨之對告警信息展開查看，發現在2016-3-7 10:09:19到10:10:25這個時間段內，遠在烏市的那個IP對內網這臺服務器共進行了4次訪問，見圖2：

圖2

管理員繼續查看每次訪問的具體細節，

第1次：

黑客調用了一個WebService方法，調用的方法為searchversionForPlat，鏈接是

http://XXX.XXX.XX.XXX:7013/handtask/services/DocsInfoService這個內部地址，請求的內容為：<request><token></token></request>，服務器最終返回訪問成功，并在返回的字符串中攜帶了下述下載鏈接：http://XXX.XXX.XX.235:7013/handtask/apk/zsyw66.apk，見圖3：

圖3

第2次：

黑客直接對

http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進行訪問，但被系統強制中斷了，見圖4

圖4

第3次：

顯然，黑客并沒有死心，繼續嘗試對http:// XXX.XXX.XX.XXX:7013/handtask/apk/zsyw66.apk進行訪問。這次訪問產生了3.454M的流量， APK被黑客下載成功。

第4次：

這次，黑客調用了另外一個方法，鏈接到了另外一個內部地址，系統返回訪問成功，同時，系統的返回內容中攜帶了一串加密信息，見圖5：

圖5

至此，管理員已經完全掌握了此次事件的內幕，我們將其完整還原一下：

該用戶為方便運維人員的日常辦公，開發了一套掌上APP，而XX.XXX.XX.134這個IP正是掌上APP系統的服務端。根據公司管理要求，能夠安裝掌上APP客戶端的終端必須要經過認證，然后才能安裝終端并進行掌上APP工作。然而由于某些原因，掌上APP客戶端獲取途徑的WebService接口出現了兩個，一個未經加密，一個經過了加密。此次黑客正是利用了未經加密的WebService接口，在未經APP服務端認證的情況下獲取了掌上APP客戶端的安裝包，同時利用已經加密的WebService接口返回的信息和未經加密的接口獲取的返回信息對比之后，獲得了加密接口的密鑰。

安全管理員通過此次FlowEye提供的告警信息，不僅發現了掌上APP系統存在的WebService應用接口漏洞，同時還發現了這套APP系統對客戶端的認證方面還存在安全漏洞。

結束語：

啟明星辰FlowEye系統，通過監控是否存在非法互聯，實時幫助用戶檢測是否存在非法入侵行為，幫助用戶快速定位內網被入侵的主機IP，并幫助用戶分析被入侵的具體過程，找出了業務系統的風險點。FlowEye是入侵分析領域的一款非常有效的安全產品。