1
Я только что прочитал о Top 10 OWASP, и мне просто интересно, применимо ли это к WCF?Как применить OWASP в WCF
есть ли еще один список OWASP для WCF?
Обратите внимание, что я все еще новичок в мире WCF.
A
ответ
1
Если ваша служба WCF работает за брандмауэром (это самый распространенный случай), OWASP не применяется. Типичная настройка при использовании WCF заключается в том, чтобы WebAPI или MVC взаимодействовали с Интернетом и выполняли службы WCF, как серверные службы, разговаривающие с вашими базами данных.
Спасибо, Сома.
1
WCF - это основа для создания услуг. Вы можете создать с ним SOAP или REST. Большинство из OWASP top 10 применяется к службам, созданным с помощью WCF, когда вы открываете их в Интернете или когда они принимают косвенный вход из ненадежных источников.
Некоторые из них, такие как XSS и CSRF, применяются только к службам WCF REST, находящимся в Интернете, но другие, подобные A1, A2, A5, A6, A7 and A9, также применимы к службам WCF SOAP. Запуск службы за брандмауэром не снижает любые из этих угроз. Кроме того, в некоторых случаях службы SOAP могут также подвергаться воздействию Интернета.
+0
Спасибо, предполагая, что нам нужно разоблачить наши службы WCF SOAP в Интернете, что я должен искать (из списка owasp)? –
+0
@ AhmadAbu-Hamideh Вам необходимо как минимум решить следующие проблемы: настройка безопасности (использование привязок https), проверка ввода (отклонение вредоносного ввода), аутентификация пользователя (проверка маркера безопасности), авторизация пользователя (пользователю разрешено вызывать этот метод) , – MvdD
Смежные вопросы
- 1. Настройка - OWASP ZAP Автоматизированное сканирование
- 2. Пассивное сканирование в OWASP ZAP
- 3. Основная авторизация в OWASP ZAP
- 4. Противоречия в рекомендациях OWASP CORS
- 5. OWASP 2010 - пример безопасности
- 6. Ошибка синтаксиса в правилах owasp
- 7. Установка WebScarab OWASP
- 8. OWASP ZAP Proxy freezes
- 9. Внедрение OWASP в Asp.Net MVC
- 10. CSRF и OWASP ZAP
- 11. OWASP Orizon реализация
- 12. Что такое OWASP?
- 13. применить пользователя MaxAllowedCall по методу wcf
- 14. Как загрузить все документы из OWASP (github)?
- 15. Как настроить плагин OWASP на sonarqube
- 16. OWASP ZAP - как «доказать» ложные срабатывания?
- 17. Библиотека .NET такая же, как OWASP ESAPI
- 18. OWASP ZAP - документация сценария jython
- 19. OWASP HTML дезинфицирующее чистят комментарии
- 20. Встраиваемый CSS с owasp-java-html-sanitizer
- 21. Core OWASP ModSecurity - разрешая JSON
- 22. Аутентификация в OWASP ZAP 2.4.2 OSX
- 23. Какова надежность проверки зависимостей OWASP?
- 24. Nessus vs OWASP Проверка зависимости
- 25. OWASP предотвращения конфиденциальных данных в Java
- 26. OWASP ZAP: активный сканер в интеграции Continuos
- 27. OWASP CSRFGuard: требуется маркер отсутствует в запросе
- 28. Как экспортировать отчет OWASP ZAP Spider в Excel?
- 29. Django: лишний escape-код HTML в атрибутах, как рекомендовано OWASP
- 30. Как реализовать структуру ng-owasp в уже существующем коде AngularJS
Благодарим нас за то, что нам нужно разоблачить наши службы WCF SOAP в Интернете, что я должен искать (из списка owasp)? \ –
Если ваша служба имеет доступ к базе данных, убедитесь, что вы используете параметры SQL/хранимые процедуры только для передачи данных. Убедитесь, что пользовательский ввод всегда проверен. Поскольку это служба WCF, рекомендуется использовать токен только для аутентификации, чтобы избежать атак CSRF. HTTPS только в качестве транспортного режима. Я бы выполнил мою службу таким образом, чтобы каждая конечная точка была защищена по умолчанию, и я буду явно открывать те, которые не являются. Если данные, которые вы просматриваете, чрезвычайно чувствительны, я бы даже выделил белый список домена, который может иметь доступ к ресурсам. Благодарю Сому. –