Web服务正在变为下一代web应用的一个完整部分。但是它也较容易被攻击。这些攻击的种类与传统的web应用所受到的攻击是相同的，但是形式上发生了变化。这些攻击会导致信息泄漏;另外，这些攻击有助于执行远程命令。通过使用WSDL，一个攻击者能够确定web服务的入口和可用的接口。这些接口或方法使用SOAP协议通过HTTP/HTTPS方式得到输入。如果在源代码层没有好的保护，您的应用就会处于危险。mod_security作为一个Apache web服务器模块，是一种保护web服务免受恶意攻击(包括封装在SOAP封套内的恶意数据)的理想解决方案。

　　问题域

　　Web服务所遭到的四种主要攻击:

　　•变量长度缓冲区(Variable-length buffer)注入
　　•元字符注入
　　•SQL注入
　　•SOAP错误代码信息暴露(译者注:是指返回的Exception信息的暴露)

　　通常防火墙配置会允许HTTP/HTTPS传输无碍的进入。通常对web服务的攻击会伪装成合法的HTTP/HTTPS传输，从而蒙骗了防火墙。这篇文章将告诉您如何区分合法的HTTP/HTTPS传输和恶意的HTTP/HTTPS传输，并截获恶意传输。这样将能够在很大程度上减轻对80/443端口的攻击。

　　解决方案是什么?

　　有很多解决方案，从安全代码到输入验证。一个途径是通过对每一个请求的内容用事先定义好的规则进行验证。这种途径在源代码层上阻止了恶意SOAP请求渗透入web服务。如您为web服务正确部署并配置了mod_security，它将能够阻止所有上述的攻击。这篇文章将详细的讨论mod_security如何能成为web 服务有效的防范工具。

　　当部署完web服务后，提供一个防御手段来防范不同类型的攻击是很重要的。每一种攻击都需要不同的防范策略。假设有这么一个银行—这个银行仅仅是一个作为例子的假想银行。

　　Blue 银行(www.bluebank.example.com)最近刚刚部署了web服务，并使用mod_security对web服务进行保护。该银行通过internet向它的金融合作伙伴和客户提供银行服务。它的web服务提供在线的客户服务，比如帐目结算，资金周转和更改用户信息。图1解释了在Blue Bank部署的web服务的架构。

　　图 1. Blue银行的部署