写点什么

WCF 和信息泄露威胁

  • 2008-09-30
  • 本文字数:974 字

    阅读完需:约 3 分钟

Anil John 最近写了一篇叙述信息泄露威胁和Web 服务的文章。在文章中,他详细探讨了潜在黑客常用的攻击技巧,以及一些常见的Web 服务应用又是如何“支持”了这些攻击。

Anil 谈到了“预操作监视(pre-operational surveillance)”,也就是我们从前常说的 IT 领域里的“信息泄露威胁”。他详细地介绍了两个可能的威胁:

  1. SOAP 错误的错误信息
  2. WSDL 扫描 / 踩点(Foot-Printing)/ 查点(Enumeration)

关于 SOAP 错误的错误消息,他说道:

……攻击者最喜欢的策略是试图在 Web 服务里产生一个异常或者错误,以希望连接字符串、堆栈踪迹和其他敏感信息能够在 SOAP 错误的地方泄露出来。

Anil 就此提出了两个应对措施,一个是在模式与实践书籍《Web 服务安全 / Web Service Security 》[免费PDF 版本] 和《WCF 安全指南/ WCF Security Guide 》[免费PDF 版本] 中所提到的——异常防护模式( Exception Shielding Pattern )。他同时指出还可以选用类似 XML 安全网关的硬件设备,他曾使用过 Layer 7、Cisco/Reactivity 网关等设备,碰巧晓得它们均支持此功能。

Apache Asis 团队的 Steve Loughran 针对本文评论说:

Apache Axis 默认情况下不会串线【译者注:意指跨越调用边界】传递完整的堆栈踪迹 [……]。你不需要额外使用 XML 安全硬件,只需要锁定端点的基本信息就可以。

他还提到了 Axis 安全指南

对于第二个威胁——元数据发布,Anil 说:

在 WSDL 中发现的这类信息,也就是只需在服务端点 URL 后面加上?WSDL 就可以轻易得到的信息,对于要寻找服务中缺点的攻击者来说,是个绝对有用的信息源。因此,这样的信息不应该被提供,或者最好直接关闭。

如果元数据发布被关闭了,那么客户端如何知道定位或者唤醒 Web 服务的方法呢?据 Anil 所述,一个可能的方法是加入含有合适的访问控制机制的企业注册 / 仓库,并根据契约优先方法阻止WSDL 的自动生成。

在文章“保护你的WCF 元数据”中, Dominick Baier 解释了一些有关 WCF 元数据发布的细节。他给出了一些保护元数据发布的方法:

  • 强制使用 SSL;
  • 通过开发实现 IMetadataExchange 和含有完整 WCF 安全特性集的定制绑定,暴露元数据交换(Metadata Exchange,MEX)端点;
  • 允许用户通过 WMI 从 WCF 服务中检索元数据。

另外在“给WCF 元数据授予访问权限”文章中,Dominick 还从技术角度谈到了检测元数据检索请求等。

查看英文原文: WCF and Information Disclosure Threats

2008-09-30 21:00998

评论

发布
暂无评论
发现更多内容

三星GalaxyS25系列:以AI之名,重新定义智能手机的未来

新消费日报

嘉为蓝鲸 LLMOps 平台 V1.2:60 + 模型支持,统一 OpenAI 协议 API,加速运维大模型应用融合

嘉为蓝鲸

AIOPS LLMOps 运维大模型

实现一个虚拟滚动列表组件

JYeontu

vue.js Vue 前端 前端开发

MCP与A2A协议关系及区别解析

测试人

人工智能

CAD为什么提示填充线过多

极客天地

2025年程序员进阶指南

伤感汤姆布利柏

零代码!3步搞定自动化测试,Apipost让你的效率飙升300%

数据追梦人

2025春招求职必备:DeepSeek + GPT-4.1 + Gemini 2.5 + Trea + Jobleap,打造完美简历,精准匹配高薪岗位

安全乐谷

求职 找工作 简历 实习 春招

CAD移动图形的方法

极客天地

“群魔乱舞”的半程马拉松后,人形机器人发展的“冷思考”!

机器人头条

科技 大模型 人形机器人 具身智能

DeepSeek浪潮下,MedHELM 如何重塑AI医疗大模型评估?

GPU算力

AI医疗 大模型评估 医疗大模型 DeepSeek Medhelm

写了一个B站直播实时字幕插件

JYeontu

前端 edge JavaScrip 浏览器插件

2025慕尼黑上海电子展:工业智变与能源革新交响,前沿“芯”技术谱写高效协同最强音

极客天地

OpsPilot技术解析:Embedding重构语义空间,混合检索突破知识边界

嘉为蓝鲸

智能运维 #WeOps OpsPilot

CAD打印多余线条怎么办

极客天地

广西等级保护测评公司名单汇总-2025年

行云管家

网络安全 等保 堡垒机 等保测评

Web3 项目的性能优化

北京木奇移动技术有限公司

区块链开发 软件外包公司 web3开发

CAD显示长度异常原因

极客天地

智能AI供应链决策系统:时尚品牌“以销定产”破局之道

第七在线

自定义函数:为接口开发增添灵活性(Apipost 的独特优势功能)

数据追梦人

聚焦DOMM标准落地实践——嘉为蓝鲸分享推广成果与优化建议

嘉为蓝鲸

DevOps 行业标准 DOMM

循序渐进搭建复杂B端系统整洁架构

京东科技开发者

腾讯云李力:构建稳定安全的基础设施,助力大模型应用落地

极客天地

Web3 项目的安全测试和优化

北京木奇移动技术有限公司

区块链开发 软件外包公司 web3开发

嘉为蓝鲸WeOpsV5.21&V4.21上新:智能问答+大模型接入,释放运维数据价值

嘉为蓝鲸

智能运维 #WeOps

大促系统优化之应用启动速度优化实践

京东科技开发者

薪资 20-40K ,坐标北京,高级golang开发岗面经

王中阳Go

Go 面经

被LangChain4j坑惨了!

王磊

循序渐进搭建复杂B端系统整洁架构

京东科技开发者

质量视角下的系统稳定性保障--稳定性保障常态化自动化实践

京东科技开发者

WCF和信息泄露威胁_SOA_Hartmut Wilms_InfoQ精选文章