限时领|《AI 百问百答》专栏课+实体书(包邮)! 了解详情
写点什么

WCF 和信息泄露威胁

  • 2008-09-30
  • 本文字数:974 字

    阅读完需:约 3 分钟

Anil John 最近写了一篇叙述信息泄露威胁和Web 服务的文章。在文章中,他详细探讨了潜在黑客常用的攻击技巧,以及一些常见的Web 服务应用又是如何“支持”了这些攻击。

Anil 谈到了“预操作监视(pre-operational surveillance)”,也就是我们从前常说的 IT 领域里的“信息泄露威胁”。他详细地介绍了两个可能的威胁:

  1. SOAP 错误的错误信息
  2. WSDL 扫描 / 踩点(Foot-Printing)/ 查点(Enumeration)

关于 SOAP 错误的错误消息,他说道:

……攻击者最喜欢的策略是试图在 Web 服务里产生一个异常或者错误,以希望连接字符串、堆栈踪迹和其他敏感信息能够在 SOAP 错误的地方泄露出来。

Anil 就此提出了两个应对措施,一个是在模式与实践书籍《Web 服务安全 / Web Service Security 》[免费PDF 版本] 和《WCF 安全指南/ WCF Security Guide 》[免费PDF 版本] 中所提到的——异常防护模式( Exception Shielding Pattern )。他同时指出还可以选用类似 XML 安全网关的硬件设备,他曾使用过 Layer 7、Cisco/Reactivity 网关等设备,碰巧晓得它们均支持此功能。

Apache Asis 团队的 Steve Loughran 针对本文评论说:

Apache Axis 默认情况下不会串线【译者注:意指跨越调用边界】传递完整的堆栈踪迹 [……]。你不需要额外使用 XML 安全硬件,只需要锁定端点的基本信息就可以。

他还提到了 Axis 安全指南

对于第二个威胁——元数据发布,Anil 说:

在 WSDL 中发现的这类信息,也就是只需在服务端点 URL 后面加上?WSDL 就可以轻易得到的信息,对于要寻找服务中缺点的攻击者来说,是个绝对有用的信息源。因此,这样的信息不应该被提供,或者最好直接关闭。

如果元数据发布被关闭了,那么客户端如何知道定位或者唤醒 Web 服务的方法呢?据 Anil 所述,一个可能的方法是加入含有合适的访问控制机制的企业注册 / 仓库,并根据契约优先方法阻止WSDL 的自动生成。

在文章“保护你的WCF 元数据”中, Dominick Baier 解释了一些有关 WCF 元数据发布的细节。他给出了一些保护元数据发布的方法:

  • 强制使用 SSL;
  • 通过开发实现 IMetadataExchange 和含有完整 WCF 安全特性集的定制绑定,暴露元数据交换(Metadata Exchange,MEX)端点;
  • 允许用户通过 WMI 从 WCF 服务中检索元数据。

另外在“给WCF 元数据授予访问权限”文章中,Dominick 还从技术角度谈到了检测元数据检索请求等。

查看英文原文: WCF and Information Disclosure Threats

2008-09-30 21:001016

评论

发布
暂无评论
发现更多内容

Linux驱动开发-proc接口介绍

DS小龙哥

4月月更

好身体,从增加睡眠时间开始

石云升

睡眠 4月月更

用JAVA捋一下设计模式3-抽象工厂模式

下雨了

设计模式 抽象工厂模式 4月月更

白话大数据 | 关于图数据库,没有比这篇更通俗易懂的啦

星环科技

在线XML美化格式化工具

入门小站

工具

阿里云与达摩院合作 AHPA 弹性预测论文被顶会 ICDE 录用

阿里巴巴云原生

Linux之lastlog命令

入门小站

Linux

开源IM项目OpenIM每周迭代版本发布-群管理 阅后即焚等-v2.0.6

Geek_1ef48b

《数据密集型型系统设计》LSM-Tree VS BTree

懒时小窝

哈希 B-tree 列式存储 LSM-Tree

PlatoFarm空投社区的逻辑,效仿无聊猿还是Dao理念使然

小哈区块

XX物流同城快递架构设计文档

Steven

李智慧 高并发架构实战课

【限时免费】阿里云 ACR EE 增强型扫描引擎限时体验中,多维度保障容器镜像安全

阿里巴巴云原生

Kubernetes官方java客户端之六:OpenAPI基本操作

程序员欣宸

4月月更

探索SeekTiger生态,Tiger DAO VC有哪些新期待

小哈区块

【PIMF】《伟大的计算原理》提炼“六脉神剑”认识OpenHarmony技术路线

离北况归

《伟大的计算原理》 技术路线 IMF

Spinner: Pinterest的工作流平台

俞凡

架构 工作流引擎 大厂实践 Pinterest

CDH/HDP迁移之路

星环科技

如何在VC领域脱颖而出,Tiger DAO VC给出答案

BlockChain先知

“卷王”英伟达的真面目

脑极体

Rust中值销毁前的清理动作

Shine

rust

业务流程驱动的数字化转型,中小微企业开启转型的最简单方法论

王吉伟频道

RPA 数字化转型 机器人流程自动化 业务流程自动化

DDD实战(7):战术设计、整体流程与首次冲刺

深清秋

DDD 软件架构设计 生鲜电商系统

Sophon 3.0全面升级,你准备好拥抱进阶版本的ML建模平台了吗?

星环科技

图数据库渐成技术新风口,星环科技自研图数据库领跑新赛道

星环科技

用JAVA捋一下设计模式2-工厂方法模式

下雨了

设计模式 工厂方法模式 4月月更

用JAVA捋一下设计模式1-简单工厂模式

下雨了

设计模式 简单工厂模式 4月月更

用JAVA捋一下设计模式23-解释器模式

下雨了

设计模式 4月月更 解释器模式

在线条码生成器

入门小站

工具

模块二:作业微信朋友圈的高性能复杂度

本人法海

「架构实战营」

用JAVA捋一下设计模式 4-单例模式

下雨了

设计模式 单例模式 4月月更

探索SeekTiger生态,Tiger DAO VC有哪些新期待

西柚子

WCF和信息泄露威胁_SOA_Hartmut Wilms_InfoQ精选文章