AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

WCF 和信息泄露威胁

  • 2008-10-08
  • 本文字数:974 字

    阅读完需:约 3 分钟

Anil John 最近写了一篇叙述信息泄露威胁和Web 服务的文章。在文章中,他详细探讨了潜在黑客常用的攻击技巧,以及一些常见的Web 服务应用又是如何“支持”了这些攻击。

Anil 谈到了“预操作监视(pre-operational surveillance)”,也就是我们从前常说的 IT 领域里的“信息泄露威胁”。他详细地介绍了两个可能的威胁:

  1. SOAP 错误的错误信息
  2. WSDL 扫描 / 踩点(Foot-Printing)/ 查点(Enumeration)

关于 SOAP 错误的错误消息,他说道:

……攻击者最喜欢的策略是试图在 Web 服务里产生一个异常或者错误,以希望连接字符串、堆栈踪迹和其他敏感信息能够在 SOAP 错误的地方泄露出来。

Anil 就此提出了两个应对措施,一个是在模式与实践书籍《Web 服务安全 / Web Service Security 》[免费PDF 版本] 和《WCF 安全指南/ WCF Security Guide 》[免费PDF 版本] 中所提到的——异常防护模式( Exception Shielding Pattern )。他同时指出还可以选用类似 XML 安全网关的硬件设备,他曾使用过 Layer 7、Cisco/Reactivity 网关等设备,碰巧晓得它们均支持此功能。

Apache Asis 团队的 Steve Loughran 针对本文评论说:

Apache Axis 默认情况下不会串线【译者注:意指跨越调用边界】传递完整的堆栈踪迹 [……]。你不需要额外使用 XML 安全硬件,只需要锁定端点的基本信息就可以。

他还提到了 Axis 安全指南

对于第二个威胁——元数据发布,Anil 说:

在 WSDL 中发现的这类信息,也就是只需在服务端点 URL 后面加上?WSDL 就可以轻易得到的信息,对于要寻找服务中缺点的攻击者来说,是个绝对有用的信息源。因此,这样的信息不应该被提供,或者最好直接关闭。

如果元数据发布被关闭了,那么客户端如何知道定位或者唤醒 Web 服务的方法呢?据 Anil 所述,一个可能的方法是加入含有合适的访问控制机制的企业注册 / 仓库,并根据契约优先方法阻止WSDL 的自动生成。

在文章“保护你的WCF 元数据”中, Dominick Baier 解释了一些有关 WCF 元数据发布的细节。他给出了一些保护元数据发布的方法:

  • 强制使用 SSL;
  • 通过开发实现 IMetadataExchange 和含有完整 WCF 安全特性集的定制绑定,暴露元数据交换(Metadata Exchange,MEX)端点;
  • 允许用户通过 WMI 从 WCF 服务中检索元数据。

另外在“给WCF 元数据授予访问权限”文章中,Dominick 还从技术角度谈到了检测元数据检索请求等。

查看英文原文: WCF and Information Disclosure Threats

2008-10-08 08:071004

评论

发布
暂无评论
发现更多内容

如何将外连接向内连接转换?

华为云开发者联盟

sql 数仓 GaussDB(DWS) 外连接 内连接

穿越时空,跟我一起探索云栖数字谷(2021云栖大会免费送票)

阿里云CloudImagine

人工智能 云计算 阿里云 行业资讯 视频云

3年才能驾驭新技术,不如试试这个低代码魔方

华为云开发者联盟

低代码 开发 华为云应用魔方 应用程序 魔方

《鸿蒙理论知识05》HarmonyOS概述之下载与安装软件

孙叫兽

鸿蒙 鸿蒙系统 引航计划

Python——静态方法与类方法、类的导入

在即

9月日更

Opus从入门到精通(二):编解码器使用

轻口味

android 音视频 编解码 9月日更

百度智慧输入,会是企业降本增效的“新生产力”吗?

ToB行业头条

百度 企业服务 百度输入法

28分钟完成一款Python游戏,《客服戏翻总裁牌》

梦想橡皮擦

9月日更

疯狂涨知识,spring全方位深入探索,

Java 程序员 后端

《鸿蒙理论知识06》HarmonyOS概述之应用开发基础知识

孙叫兽

鸿蒙 HarmonyOS 鸿蒙系统 引航计划 领航计划

分布式系统中协调和复制技术的原理

博文视点Broadview

计划会议要开始了,产品负责人却没来…

华为云开发者联盟

Scrum PO 开发团队 计划会议 Sprint

【上汽零束SOA】云管端一体化SOA软件平台系列介绍之五:服务实现篇

SOA开发者平台

软件 车联网 物联网 汽车

乘着汽车智能化的浪潮,“汽车人”职业方向的选择(一)

SOA开发者

软件 职业成长 汽车

《鸿蒙理论知识04》HarmonyOS概述之系统定义

孙叫兽

鸿蒙 鸿蒙系统 引航计划

Vue进阶(幺幺玖):element-ui table组件适应性问题(横向滚动条)

No Silver Bullet

Vue 9月日更

netty系列之:在netty中处理CORS

程序那些事

Java Netty 程序那些事 响应式系统

数据中心建设很复杂,但选择却能很简单:华为数据中心的多维创新

Canal Admin 高可用集群使用教程

Se7en

疯狂复习半个月,全栈系统化的学习路线

Java 程序员 后端

Apache APISIX 社区周报 | 2021 8.30-9.12

API7.ai 技术团队

Apache 开源 API网关 APISIX 社区周报

架构实战课程 模块三作业

Frank

MapReduce 示例:减少 Hadoop MapReduce 中的侧连接

华为云开发者联盟

hadoop mapreduce 排序 侧连接 联接

简单聊聊汽车OTA给OEM和Tire1带来的变化

SOA开发者

程序员 职业成长 汽车

《鸿蒙理论知识03》HarmonyOS概述之系统安全

孙叫兽

鸿蒙 鸿蒙开发 鸿蒙系统 引航计划

模块3-作业

笑看风雨情

【上汽零束SOA】云管端一体化SOA软件平台系列介绍之五:服务实现篇

SOA开发者

软件 SOA

Apollo 配置中心详细教程

牧小农

Apollo 阿波罗

WCF和信息泄露威胁_SOA_Hartmut Wilms_InfoQ精选文章