写点什么

WCF 和信息泄露威胁

  • 2008-09-30
  • 本文字数:974 字

    阅读完需:约 3 分钟

Anil John 最近写了一篇叙述信息泄露威胁和Web 服务的文章。在文章中,他详细探讨了潜在黑客常用的攻击技巧,以及一些常见的Web 服务应用又是如何“支持”了这些攻击。

Anil 谈到了“预操作监视(pre-operational surveillance)”,也就是我们从前常说的 IT 领域里的“信息泄露威胁”。他详细地介绍了两个可能的威胁:

  1. SOAP 错误的错误信息
  2. WSDL 扫描 / 踩点(Foot-Printing)/ 查点(Enumeration)

关于 SOAP 错误的错误消息,他说道:

……攻击者最喜欢的策略是试图在 Web 服务里产生一个异常或者错误,以希望连接字符串、堆栈踪迹和其他敏感信息能够在 SOAP 错误的地方泄露出来。

Anil 就此提出了两个应对措施,一个是在模式与实践书籍《Web 服务安全 / Web Service Security 》[免费PDF 版本] 和《WCF 安全指南/ WCF Security Guide 》[免费PDF 版本] 中所提到的——异常防护模式( Exception Shielding Pattern )。他同时指出还可以选用类似 XML 安全网关的硬件设备,他曾使用过 Layer 7、Cisco/Reactivity 网关等设备,碰巧晓得它们均支持此功能。

Apache Asis 团队的 Steve Loughran 针对本文评论说:

Apache Axis 默认情况下不会串线【译者注:意指跨越调用边界】传递完整的堆栈踪迹 [……]。你不需要额外使用 XML 安全硬件,只需要锁定端点的基本信息就可以。

他还提到了 Axis 安全指南

对于第二个威胁——元数据发布,Anil 说:

在 WSDL 中发现的这类信息,也就是只需在服务端点 URL 后面加上?WSDL 就可以轻易得到的信息,对于要寻找服务中缺点的攻击者来说,是个绝对有用的信息源。因此,这样的信息不应该被提供,或者最好直接关闭。

如果元数据发布被关闭了,那么客户端如何知道定位或者唤醒 Web 服务的方法呢?据 Anil 所述,一个可能的方法是加入含有合适的访问控制机制的企业注册 / 仓库,并根据契约优先方法阻止WSDL 的自动生成。

在文章“保护你的WCF 元数据”中, Dominick Baier 解释了一些有关 WCF 元数据发布的细节。他给出了一些保护元数据发布的方法:

  • 强制使用 SSL;
  • 通过开发实现 IMetadataExchange 和含有完整 WCF 安全特性集的定制绑定,暴露元数据交换(Metadata Exchange,MEX)端点;
  • 允许用户通过 WMI 从 WCF 服务中检索元数据。

另外在“给WCF 元数据授予访问权限”文章中,Dominick 还从技术角度谈到了检测元数据检索请求等。

查看英文原文: WCF and Information Disclosure Threats

2008-09-30 21:00898

评论

发布
暂无评论
发现更多内容

产品经理的效率利器:揭秘提升工作效率的10大神器!

彭宏豪95

项目管理 产品经理 在线白板 办公软件 在线协作

Meetup 回顾|Data Infra 研究社第十六期(含资料发布)

Databend

设计一套评论系统

Kevin_913

Java 数据库设计 评论系统

redigo连接池的源码分析

胡译胡说

Go redis 源码 源码分析 连接池

华为云应用中间件DCS系列 | Redis实现(视频直播)消息弹幕

YG科技

灵活、可用、高扩展,EasyMR 带来全新 Yarn 的队列管理功能及可视化配置

袋鼠云数栈

hadoop YARN CDH 资源调度 hdp

【鸿蒙生态千帆起】HDD扬帆上海,赋能广大开发者共赢未来

最新动态

华为云分布式缓存服务DCS,它与开源Redis有哪些差异,快来一探究竟!

轶天下事

华为云发布CodeArts Link研发工具集成服务,无缝联接生态释放创新潜力

轶天下事

最好的私有云桌面解决方案

青椒云云电脑

云桌面

私有化部署的理想选择,WorkPlus成为企业微信、钉钉的完美替代方案

BeeWorks

Linux cd命令:切换目录

芯动大师

华为云应用中间件系列,Redis实现(电商游戏应用)排行榜示例

YG科技

【有奖体验】AIGC小说创作大赛开启!通义千问X函数计算部署AI助手

Serverless Devs

阿里云 Serverless AI

Chat Towards Data Science|如何用个人数据知识库构建 RAG 聊天机器人?

Zilliz

chatbot Zilliz zillizcloud rag

WorkPlus平台级定制,让您完全掌控业务与生态

BeeWorks

华为云应用中间件DCS系列 | Redis实现(电商网站)秒杀抢购示例

YG科技

低代码助力软件开发

互联网工科生

软件开发 低代码

1024程序员节获奖名单公示~恭喜各位上榜同学

Openlab_cosmoplat

1024程序员节

Python 面向对象编程:类、对象、初始化和方法详解

小万哥

Python 程序员 软件 后端 开发

Java性能优化权威指南-读书笔记(一)

xfgg

Java

揭秘提升远程团队协作效率的秘密武器:这款在线白板工具不容错过!

彭宏豪95

远程办公 在线白板 办公软件 在线协同 在线协作

鲨海狂潮,存力崛起

脑极体

存力

恭喜!华为云通过中国信通院《API全生命周期管理能力评估》

YG科技

JNPF:让应用开发更简单、快捷

树上有只程序猿

开发平台 低代码平台 JNPF

WorkPlus打造安全专属的移动数字化航空母舰,助力企业全面掌控业务和生态

BeeWorks

华为云OneAccess应用身份管理服务,认证授权双保驾,身份管理的选择关键

轶天下事

全域Serverless+AI,华为云加速大模型应用开发

轶天下事

WCF和信息泄露威胁_SOA_Hartmut Wilms_InfoQ精选文章