Glossar: Begriffe und Definitionen zur Cybersicherheit

Was ist Simple Object Access Protocol (SOAP)?

SOAP (Simple Object Access Protocol) ist das grundlegende, XML-basierte Anwendungsprotokoll, das zur Implementierung von Webdiensten innerhalb einer SOA (Service Oriented Architecture) verwendet wird. SOAP wird hauptsächlich über HTTP und Middleware-Messaging-Systeme (JMS, MQ Series, MSMQ, Tuxedo, TIBCO RV) transportiert, kann aber auch über andere Protokolle wie SMTP (Simple Mail Transfer Protocol) und FTP (File Transfer Protocol) transportiert werden.

SOAP-Nachrichten bestehen im Allgemeinen aus den folgenden Elementen:

  • Umschlag: Der SOAP-Umschlag ist das Stammelement einer SOAP-Nachricht und ist erforderlich. Im Wesentlichen enthält der Umschlag die SOAP-Nachricht, genauso wie ein herkömmlicher Umschlag einen Brief enthält.
  • Kopfzeile: Der SOAP-Header ist optional und enthält, sofern vorhanden, anwendungsspezifische Informationen wie beispielsweise Authentifizierungs-, Adressierungs- und Routingdetails.
  • Körper: Der SOAP-Text ist erforderlich und enthält die tatsächlich zu transportierende Anwendungsnachricht, einschließlich der aufgerufenen spezifischen Remote-Operation sowie der ausgetauschten Daten (Parameter).

SOAP-Nachrichten sind häufig groß, da sie die Informationen enthalten müssen, die Anwendungen und Clients benötigen, um die darin enthaltenen Daten zu analysieren und die entsprechende Logik auszuführen. Mit zunehmender Nachrichtengröße steigt auch der Verarbeitungsaufwand auf dem Server, was zu einem Anstieg des Ressourcenverbrauchs auf dem Server bei gleichzeitiger Verringerung der Gesamtkapazität führt. Die Größenzunahme kann sich auch negativ auf die Leistung von auf SOAP basierenden Anwendungen auswirken, da zum Übertragen der Nachrichten mehr Netzwerkressourcen erforderlich sind.

Da SOAP auf XML basiert, ist es anfällig für eine Vielzahl von XML-bezogenen Angriffen und Schwachstellen. Darüber hinaus ist es anfällig für Angriffe im Zusammenhang mit seinem Transportschichtprotokoll (meistens HTTP).

F5-Produkte, die die mit SOAP verbundenen Sicherheits- und Leistungsprobleme lösen können: BIG-IP -Anwendungssicherheitsmanager