2
公開WCF SOAPサービスに対するCSRF攻撃の可能性を防ぐにはどうすればいいですか?WCFサービスに対するCSRF攻撃の防止
主な解決策はCSRFトークンを使用することですが、どのように達成できますか?
うまくいけば、少なくとも私にアイデアを与えるか、少なくともWCFはCSRF攻撃を受けることができないと教えてください。
A
答えて
3
はい、enabled AJAX support for your serviceの場合、CSRFがWCFに適用されます。
緩和するための迅速かつ簡単な方法は、X-Requested-Withリクエストヘッダーなどのカスタムヘッダーにチェックを設定することです。 CORSを有効にしないと、これらのヘッダーをクロスドメインに渡すことはできません。
さらにこのソリューションを強化するには、セッションごとにトークンを設定し、ヘッダーにもこれを渡すことができます。 this answerを参照してください。これにより、FlashやSilverlightなどのブラウザプラグインの脆弱性を緩和することができました。これは以前はバグがありました。
+0
ありがとうございます。しかし、私がAspNetCompatibilityモードを使用していない場合、セッションが必要ないのですが、どのようにセッションごとにトークンを適用できますか? –
+0
あなたの質問をアプリケーションとアーキテクチャに関するさらに詳細な情報で更新できますか?例えば非WebブラウザにCSRF保護が必要ないため、サービスのクライアントは何ですか?セッションが使用されない場合、なぜCSRF保護が必要ですか? – SilverlightFox
+0
実際、私のサービスの考え方は、異なるドメインを要求するパブリックセパレートサービスであるため、各アプリケーションは、ソープヘッダーによって送信されるユーザー名とパスワードを使用してこのサービスに接続するように求めます。ここに適用されるセッションはありません。 –
関連する問題
- 1. WCFコールでのXSS攻撃の防止
- 2. XSS攻撃防止
- 3. CSRF攻撃のブラックリスト
- 4. Djangoでサービス拒否攻撃を防止するためのベストプラクティス
- 5. XSS攻撃を防止する
- 6. XXE攻撃を防止する方法
- 7. JavascriptとXSS攻撃の防止
- 8. リプレイ防止REST URLのリプレイ攻撃
- 9. 防御攻撃
- 10. webHttpBindingを使用してWCFサービスに対してCSRF攻撃を実行することは可能ですか?
- 11. SpringでのCSRF攻撃を防ぐ方法mvc 4
- 12. CSRF攻撃を実証する方法
- 13. C#のXSS攻撃防御
- 14. AspNetUsersテーブルSQLインジェクション攻撃を防止するには?
- 15. CSRF攻撃をシミュレートします
- 16. 悪意のあるリクエスト - DOS攻撃を防止する
- 17. Oauth2で次のようなCSRF攻撃を防止するにはどうすればよいですか?
- 18. DOS攻撃(Heroku)を防止するためのレート制限
- 19. XSS攻撃を防ぐ
- 20. クラシックASPサイトでcsrf攻撃を防止するにはどうすればよいですか?
- 21. PHPでURLエンコードされたXSS攻撃を防止する
- 22. request.getHeader( "Origin")がクロスサイトリクエスト偽造攻撃を防止する方法は?
- 23. ASP.NET MVCのAntiForgeryTokenはすべてのCSRF攻撃を防ぎますか?
- 24. Java/AMFアプリケーションでのフラッディング/ DOS攻撃の防止
- 25. MVCでのURL操作攻撃の防止?
- 26. ウェブサイト上のサービス拒否攻撃を防ぐ最良の方法
- 27. このコードでXSS攻撃を防止できましたか?
- 28. SpringBootに対するディレクトリトラバーサル攻撃
- 29. DOSJ攻撃に対するnodejsサーバ
- 30. .NET DataView RowFilterに対するインジェクション攻撃
WCFサービスはブラウザからは使用できません。したがって、この種の攻撃が行われる範囲はありません。 –
@TomRedfern:それは当てはまりません:https://msdn.microsoft.com/en-us/library/bb924552(v=vs.110).aspx – SilverlightFox
@SilverlightFox - 私は直面しているようです! –