1. дома
  2. Вопрос и ответ
  3. мыльный запрос с паролем в теле

мыльный запрос с паролем в теле

2013-10-05 2 views
0

два дня назад я слышал о мыле, и с тех пор я успешно общался с сервером. Но я не знаком с протоколом SOAPмыльный запрос с паролем в теле

Мое приложение будет передавать конфиденциальные данные на сервер, который сказал, что я был интересно, если метод создатели основного использования приложения, достаточно безопасен:

<?xml version="1.0" encoding="utf-8"?> 
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope"> 
    <soap12:Body> 
    <GetArtigoRef xmlns="http://www.*********.com:**/"> 
     <username>string</username> 
     <password>string</password> 
     <referencia>string</referencia> 
    </GetArtigoRef> 
    </soap12:Body> 
</soap12:Envelope>

Как вы можете заметить, имя пользователя и пароль находятся в виде простого текста в первых двух полях и, кроме того, достаточно хорошо идентифицированы.

Я не пользуюсь никаким типом шифрования при отправке данных через php и soapcall.

Что я могу ожидать от этого? Любые заботы, чтобы иметь или я могу охладиться?

Большое спасибо за ваши просветления! Приветствия всем.

источник

2013-10-05 Hélder Moreira

+0

Звучит так, как будто у людей, владеющих сервером, нет их дерьма. Отправка паролей в текстовом виде через Интернет никогда не является хорошей идеей. Свяжитесь со своей командой разработчиков и посмотрите, работают ли они на TLS/SSL (https) для своей службы SOAP. –

ответ

0

Если вы назовете SOAP по httpS, то вам будет достаточно безопасности.

источник

2013-10-05 20:01:59 Yaroslav

+0

У меня нет протокола SSL. Вот почему я хотел бы знать, могут ли они решить проблему. Могли бы они исправить это на их стороне? –

+0

Если вы запросите SOAP простым HTTP-уязвимым, чтобы атаковать человека в середине. Если это возможно - попросите администратора удаленного сервера включить SSL. – Yaroslav

+0

Несмотря на то, что SSL-сертификат не так дорог, я думаю, что могу получить тот же тип безопасности, хешируя соленый пароль. Хорошим способом было бы с ними создать токен для использования в качестве соли. Или я мог бы просто использовать стандартную соль .... –

0

Если я могу так сказать, я думаю, что это стандарт, когда речь заходит о мыльных серверах. Меня больше беспокоит http, а не http: s *. Это будет одна вещь, которую я бы изменил.

Во-вторых, это имеет больше общего с сервером, к которому вы подключаетесь. Представьте, что вы отправляете серверу предварительно соленый пароль, а затем он сот, который :) Может быть, для какого-то интересного тестирования.

Насколько я знаю, так оно и работает, даже при использовании LDAP и других мыльных устройств. Пароль всегда отправляется открытым текстом = \

Возможно, кто-то может посоветовать более безопасный способ связи с сервером.

источник

2013-10-05 20:08:57 Faruq

+0

Ну, если их приложение может принимать соленые пароли, я мог бы солить его перед отправкой. Даже что-то основное, как md5, сделало бы это более безопасным. Таким образом, это звучит слишком легко, чтобы разобраться. Кто-то, кто слушает сеть, может получить эту информацию с небольшими усилиями. Они могли бы предоставить способ вызвать TOKEN, и я мог бы солить его и хэш его с SHA. –

0

Сервер, который обрабатывает эти сообщения, ДОЛЖЕН использовать SSL. И они ДОЛЖНЫ иметь реальный сертификат, а не самоподписанный. Кроме того, их веб-сервер должен быть настроен для отказа от устаревших протоколов (см. OWASP-CM-001). В противном случае вы уязвимы для всякой гадости.

Это промышленный стандарт и не должно быть большой проблемой. SSL является абсолютно обязательным для безопасной обработки учетных данных.

источник

2013-10-08 03:11:38

Смежные вопросы

 Смежные вопросы