Я только что прочитал о Top 10 OWASP, и мне просто интересно, применимо ли это к WCF?Как применить OWASP в WCF
есть ли еще один список OWASP для WCF?
Обратите внимание, что я все еще новичок в мире WCF.
Я только что прочитал о Top 10 OWASP, и мне просто интересно, применимо ли это к WCF?Как применить OWASP в WCF
есть ли еще один список OWASP для WCF?
Обратите внимание, что я все еще новичок в мире WCF.
Если ваша служба WCF работает за брандмауэром (это самый распространенный случай), OWASP не применяется. Типичная настройка при использовании WCF заключается в том, чтобы WebAPI или MVC взаимодействовали с Интернетом и выполняли службы WCF, как серверные службы, разговаривающие с вашими базами данных.
Спасибо, Сома.
WCF - это основа для создания услуг. Вы можете создать с ним SOAP или REST. Большинство из OWASP top 10 применяется к службам, созданным с помощью WCF, когда вы открываете их в Интернете или когда они принимают косвенный вход из ненадежных источников.
Некоторые из них, такие как XSS и CSRF, применяются только к службам WCF REST, находящимся в Интернете, но другие, подобные A1, A2, A5, A6, A7 and A9, также применимы к службам WCF SOAP. Запуск службы за брандмауэром не снижает любые из этих угроз. Кроме того, в некоторых случаях службы SOAP могут также подвергаться воздействию Интернета.
Спасибо, предполагая, что нам нужно разоблачить наши службы WCF SOAP в Интернете, что я должен искать (из списка owasp)? –
@ AhmadAbu-Hamideh Вам необходимо как минимум решить следующие проблемы: настройка безопасности (использование привязок https), проверка ввода (отклонение вредоносного ввода), аутентификация пользователя (проверка маркера безопасности), авторизация пользователя (пользователю разрешено вызывать этот метод) , – MvdD
Благодарим нас за то, что нам нужно разоблачить наши службы WCF SOAP в Интернете, что я должен искать (из списка owasp)? \ –
Если ваша служба имеет доступ к базе данных, убедитесь, что вы используете параметры SQL/хранимые процедуры только для передачи данных. Убедитесь, что пользовательский ввод всегда проверен. Поскольку это служба WCF, рекомендуется использовать токен только для аутентификации, чтобы избежать атак CSRF. HTTPS только в качестве транспортного режима. Я бы выполнил мою службу таким образом, чтобы каждая конечная точка была защищена по умолчанию, и я буду явно открывать те, которые не являются. Если данные, которые вы просматриваете, чрезвычайно чувствительны, я бы даже выделил белый список домена, который может иметь доступ к ресурсам. Благодарю Сому. –