Web servisisu proizvod novog načina projektiranja informacijskih sustava. Širenje ideje o raspodijeljenoj obradi podataka i dijeljenju funkcionalnosti s drugim organizacijama uzrokovao je ubrzani razvoj samog weba. Računarstvo zasnovano na uslugama kao paradigma postoji već neko vrijeme i koristi se u različite svrhe. Jedno od konzistentnih tumačenja ove paradigme je pristup izradi informacijskih sustava koji označava podjelu ukupnih zahtjeva na niz manjih. Novom metodologijom razvoja, organizacije određeni dio vlastitog poslovanja otvaraju zajednici i čine ga dostupnim široj javnosti. Ipak, dijeljenje funkcionalnosti znači i dijeljenje njezinih ranjivosti i nedostataka. Točnije, sigurnosne ranjivosti jednog servisa sada imaju utjecaj i na poslovanje organizacija koje taj servis koriste. Porast uporabe web servisa u svakodnevnom poslovanju povećava potrebu za konkretnim metodologijama sigurnosnog testiranja istih.
Trenutno ne postoji jedinstvena metodologija sigurnosnog ispitivanja web servisa koja obuhvaća sve moguće scenarije. No, postoje određeni prijedlozi metodologija i preporučenih koraka koji olakšavaju postupak testiranja servisa. Neke od tih metodologija su vrlo slične onima za testiranje web aplikacija.
Web servisi su postali ključni dio u poslovanju velikog broja organizacija. Zahvaljujući brojnim pogodnostima, sve više i više organizacija počinje vlastite usluge nuditi u obliku web servisa. Nudeći vlastite web servise, te korištenjem servisa drugih organizacija stvara se jedna velika interaktivna okolina. No, u toj velikoj okolini web servisa moguće je naići i na one koji nude slabu razinu sigurnosti. Kako se servisi u okolini međusobno mogu koristiti i nadopunjavati, ranjivost jednog od njih može imati velik utjecaj na čitav sustav.
Kada se web servisi razmatraju sa stanovišta sigurnosti, postoje dvije očite točke izvora ranjivosti. Te točke su komunikacijski kanal putem kojeg se razmjenjuju poruke i domena posluživanja. Osiguravanje tajnosti informacija prilikom prijenosa poruka putem nesigurne mreže je jedan od osnovnih sigurnosnih problema globalne mreže Internet. Iako se na prvi pogled čine sličnima, web aplikacije i web servisi se razlikuju u gotovo svakom segmentu. Web aplikacija je bilo koja aplikacija koja se nalazi na poslužitelju, a koja je namijenjena ljudima. Kako bi pružili interakciju s korisnikom, aplikacije koriste stranice weba u svom prezentacijskom sloju. Sav korisnički unos kroz web aplikaciju dolazi putem prezentacijskog sloja. No, svi podaci se pohranjuju i obrađuju na poslužitelju. Web servisi se također nalaze na poslužitelju, ali su primarno namijenjeni drugim aplikacijama. Točnije, sastoje se od javnog pristupnog sučelja kojemu se pristupa standardnim HTTP metodama kao što su GET, POST i druge. Ovo ne znači da servisu nije moguće pristupiti putem web preglednika. No, on neće nužno imati grafičko sučelje za korisnika. Rezultati obavljanja upita se obično dobivaju u XML ili nekom drugom formatu koji je pogodan za strojnu obradu.
Ideja računarstva zasnovanog na servisima osigurava uporabu različitih tehnologija i platformi prilikom ostvarivanja različitih funkcionalnosti. Različite platforme mogu imati drugačije sigurnosne postavke o kojima je potrebno voditi računa prilikom integracije servisa u sustav. Kod web aplikacija se obično sve radi uporabom jedne platforme. Također, potrebno je voditi računa o uparivanju sigurnosnih mehanizama. Kako su web servisi postali popularni, došlo je do velikog broja preporuka i standarda koji upotpunjuju sigurnosne aspekte servisa. Prilikom projektiranja web aplikacija, tih specifikacija i standarda je znatno manje. Radi jednostavnije implementacije sigurnosnih mehanizama, stvoreno je niz obrazaca koje je dobro primijeniti na vlastite servise. Mnogi od njih se mogu primijeniti i na web aplikacije.
Uporaba uobičajenih mehanizama za zaštitu mreža često nije dovoljna kada je riječ o web servisima. Kako se radi o novom načinu interakcije s korisnicima i drugim sustavima, postoje nove prijetnje na kojima je potrebno posvetiti pažnju. Specifikacija WS-Security predstavlja proširenje SOAP protokola kojim se dodaju određene sigurnosne karakteristike prilikom komuniciranja s web servisom. Iako OWASP nudi neke smjernice za testiranje web servisa, trenutno ne postoji niti jedna opće prihvaćena metodologija testiranja web servisa. No, postoje smjernice i prijedlozi kojima je moguće provjeriti određene značajke koje često uzrokuju ranjivosti kod web servisa.
Posljednje sigurnosne preporuke