6
公開ユーザーが閲覧可能なSOAP WSDLファイルがあります。最近、私たちの組織の中には、これがセキュリティ上の懸念を引き起こすかどうかに疑問を呈しています。公開SOAP WSDLファイルにセキュリティ上の問題がありますか?
誰でもセキュリティ上の懸念事項として一般公開されているファイルWSDLがありますか?使用可能なすべての機能には、ログインしているユーザーが必要です。
A
答えて
8
WSDLを公開してセキュリティ上の問題が発生した場合、WSDLを公開しなくてもセキュリティ上の問題があり、その問題を解決する必要があります。
WSDLはあなたのプロトコルを説明しています。あなたのプロトコルは秘密であると想定することはできません。攻撃者はあなたのWSDLなしでもそれをリバースエンジニアリングすることができます。ネットワーク接続の相手側のクライアントが "自分の"クライアントであるとは決して想像できません。あなたはそれが攻撃者であると想定し、その事実に対処するようにシステムを設計する必要があります。
したがって、WSDLを隠すことは、重大なセキュリティを提供しない難読化のマイナーな形態です。しかし、...あなたのWSDLを隠しているのは非常に簡単で、余分な作業は必要ありません。それを隠すと、自動スクリプトの種類によっては攻撃を試みる可能性があります。そして、それは攻撃者のための1つの余分な小さな頭痛を作成します。
WSDLが隠れている大きな危険の1つは、WSDLが秘密であると考える開発者にとっては、それが駄目だということです。それが問題になる可能性のあるチームがあれば、私はそれを集中しておくために公開しておきます。
その他の重大な危険は、システムを管理しにくい(たとえばアップグレードするのが難しくなる)場合です。そうだとすれば、私は絶対にそれを隠さないでしょう。クライアントの余分な複雑さは、パブリックWSDLよりもセキュリティリスクが大きいことはほぼ確実です。
関連する問題
- 1. SOAP Webサービス:WSDLの公開ページが必要ですか?
- 2. セキュリティの有無にかかわらずWSDL公開メソッド
- 3. phpファイル拡張子:セキュリティ上の問題?
- 4. PHPでセキュリティ上の問題が発生する可能性があります
- 5. ファイルの戦術の多くは、ディレクトリトラバーサルのセキュリティ問題がありますか?
- 6. PHP SoapServer:URLに "?wsdl"というXMLファイル(WSDLファイル)がありません。
- 7. Azureのセキュリティ上の問題
- 8. 公開鍵が失われたらどうなりますか?それはセキュリティの問題ですか?
- 9. Google SOAP APIのURLに問題があります
- 10. Play Frameworkのセキュリティに問題があります
- 11. 公開の問題
- 12. フォームフィールドにMySQLテーブルのフィールド名を公開する際にセキュリティ上のリスクはありますか?
- 13. WCFのセキュリティ上の問題
- 14. JavaScriptのセキュリティ上の問題?
- 15. セキュリティ上の問題、PHP/mysql
- 16. .snkファイルから公開鍵を公開する必要はありますか?
- 17. URLにASP.NET「UserProfileID」を使用する際のセキュリティ上の問題はありますか?
- 18. ウェブアプリケーション公開問題
- 19. アクティビティの開始に問題がありますか?テーマの問題
- 20. フラッシュの.swfファイルに関するセキュリティ上の問題
- 21. Wallpostに問題がありますか?
- 22. 私のウェブサイトにセキュリティ上の欠陥を公開する方法
- 23. Googleのサーバーにcrossdomain.xmlをホストする際にセキュリティ上の問題はありますか?
- 24. Temporary ASP.NET Filesフォルダへのユーザー書き込みのアクセス許可にセキュリティ上の問題がありますか?
- 25. Webサービス経由でsystem.dllを公開するとセキュリティ上の懸念はありますか?
- 26. 公開されたRDLファイルはどこにありますか?
- 27. サーバー上のデータベースに問題があります
- 28. メトロスタイルアプリの公開に関する問題
- 29. Intent.ACTION_SENDに問題がありますか?
- 30. データがウェブサイトに挿入されました - セキュリティ上の問題
ありがとう、素晴らしい答え! –