摘要：在与开发人员就XMLWeb服务的将来谈话的过程中我们得知，他们最大的担心之一就是害怕软件中存在的弱点可能使服务受到不怀好意的用户的攻击。

第1页:保护XMLWeb服务免受黑客攻击 第2页:保护XMLWeb服务免受黑客攻击 第3页:保护XMLWeb服务免受黑客攻击 第4页:保护XMLWeb服务免受黑客攻击 第5页:保护XMLWeb服务免受黑客攻击

　　攻击类型
　　
　　要找出风险所在并了解如何避免，第一步应了解服务可能遭受的攻击类型。在了解了可能遇到的问题种类后，就可以采取适当的措施来减小这些问题所带来的风险。
　　
　　攻击通常可分为三大类：欺骗、利用错误、拒绝服务。
　　
　　欺骗
　　
　　在要求身份验证的系统上，最常见的黑客攻击之一是算出某个用户的身份验证证书，以该用户登录，然后访问该用户的信息。这已经很糟糕了，但如果被泄露的证书属于系统管理员或其他某个具有更高权限的用户，则风险会更大。因为，在这种情况下，攻击可能不仅限于泄露单个用户的数据，而且有泄露所有用户数据的可能。
　　
　　黑客可能会使用多种方法来确定用户的密码。例如：尝试对该用户有意义的字，如该用户的姓名、其宠物的名字或生日。更有恒心的黑客甚至会尝试字典中的每个字（字典攻击）。获取证书信息的其他方法包括：捕捉网络数据包并读取发送的数据中的信息；通过DNS欺骗，插入一台不怀好意的计算机，作为客户端和服务器之间的中介；假装系统管理员，以排除故障为由，要求用户给出其证书；或者，记录与服务器的登录握手，然后重复这一过程，尝试通过身份验证。
　　
　　可以通过采取诸如强制实现加强密码等措施以及使用安全身份验证机制，来缓解由欺骗所带来的大多数风险。
　　
　　利用错误
　　
　　决定系统弱点的关键因素之一是运行在该系统上的代码的质量。系统错误不仅仅局限于使某个特定的线程出现异常。黑客可能利用这些弱点在系统上执行他们自己的代码，访问具有较高权限的资源，或者，只是利用可能潜在地引起系统速度减慢或变得不可用的资源漏洞（由错误引起的）。这种攻击中最著名的一个例子就是红色代码蠕虫病毒，这种病毒利用Index ServerI SAPI扩展中的错误，在受感染的系统上执行它选择的代码，然后继续寻找其他有弱点的计算机。
　　
　　另外一种常见攻击就是利用输入数据的有效性假设方面的错误。例如，XML Web Service希望用户名作为参数输入的情况。如果您假设用户名仅包含ASCII字符串，并因此将它直接放入您的SQL查询，可能会使您的服务出现严重的弱点。例如，假设您的代码中有一个SQL查询，如下所示：
　　
　　sqlQuery="SELECT*FROMUsersWHERE(Username=''"&UsernameInput&"'')
　　
　　如果UsernameInput参数包含的内容恰好如下所示
　　
　　ornot(Username=''0
　　
　　如果UsernameInput参数包含的内容恰好如下所示
　　
　　那么您的服务可能会返回所有记录，而不只是特定用户的记录。