3.1 Web2.0 應用足跡 (Footpring)

  • Web2.0 Footprinting Basics
    footprint 是為了查出某個IP或是domain有幾個應用程式,或是哪台機器來跑程式...等資訊。
    分成以下幾種footprinting的做法:
    • host footprinting
      把single IP上有哪些應用都列出來。
    • extracting information from PTR(pointer record)
      從DNS的racker去找這個IP adress 有哪些服務。
    • digging DNS services
      知道IP之後用IP反查回去有哪些domain name...,
    • digging a search engine
      給一個範圍之後,去查在這個範圍內有哪些服務。
    • domain footprinting
      查詢在一個domain之下,有哪些機器。
    • cross-domain footprinting
      可以找出程式、domain...之間的關係。
  • Web Services Footprinting
    • 簡介
      由於Web2.0的服務並沒有一個統一存取的地方,因此,在過去IBM、Microsoft、SAP等公司使用UBR(Universal Business Registry)節點(nodes)像DNS server一樣複製這些節點。然而,如果一間公司需要同時運行多個網頁服務,則該公司可能就會有屬於自己的UDDI(Universal Description Discovery and Integration) server讓服務可以存取。
    • UDDI(Universal Description Discovery and Integration)
      • 簡介
        UBRs是透過UDDI協定來運作,而UDDI擁有自己的API可以用來查詢UBRs,也因此使得UDDI成為通用的協定,允許從Web server透過這些API來單獨執行UBRs,UDDI運行在特殊的URL並使用HTTP或HTTPS協定。
      • UDDI query function
        UDDI本身分為兩的部分,發布(publishing)和查詢(inquiry),以下為查詢function
        find_binding
        find_business
        find_relatedBusinesses
        find_service
        find_tModel
        get_bindingDetail
        get_businessDetail
        get_businessDetailExt
        get_serviceDetail
    • UDDI Tool
      UDDI browser
      執行畫面
      uddi
  • Footprinting Countermeasures
    • PTR records 不要出現在左邊,有 PTR record 的話別人就可以利用 IP 來反查 domain( reverse DNS lookups ).
    • 在 Server 裡面加上 Robots.txt.
    • 把 link 隱藏起來(利用 CSS, javascript...等等),不要直接打出連結。
    • 儘量不要註冊在被大家廣泛知道的 UDDI servers.

 

參考資料
Web 2.0 security:Definding Ajax, RIA, and SOA
UDDI規格書
http://uddi.xml.org/uddi-101

http://www.fcicq.net/wp/?p=34