|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
有专家说:net网页编程不是跨平台,net网页编程就是平台,这很好的定义了net网页编程的特点。有了net网页编程,你只需要等待net网页编程平台在新平台上移植。这还不错吧!只是,net网页编程不是一个平台,而是多个平台。你需要在这个net网页编程平台移植到另一个net网页编程平台。AnilJohn比来写了一篇叙说信息保守威逼和Web服务的文章。在文章中,他具体切磋了潜伏黑客经常使用的打击技能,和一些罕见的Web服务使用又是怎样“撑持”了这些打击。
Anil谈到了“预操纵监督(pre-operationalsurveillance)”,也就是我们夙昔常说的IT范畴里的“信息保守威逼”。他具体地先容了两个大概的威逼:
- SOAP毛病的毛病信息
- WSDL扫描/踩点(Foot-Printing)/查点(Enumeration)
关于SOAP毛病的毛病动静,他说道:……打击者最喜好的战略是试图在Web服务里发生一个非常大概毛病,以但愿毗连字符串、仓库踪影和其他敏感信息可以在SOAP毛病的中央保守出来。 Anil就此提出了两个应对措施,一个是在形式与理论书本《Web服务平安/WebServiceSecurity》[收费PDF版本]和《WCF平安指南/WCFSecurityGuide》[收费PDF版本]中所提到的——非常防护形式(ExceptionShieldingPattern)。他同时指出还能够选用相似XML平安网关的硬件设备,他曾利用过Layer7、Cisco/Reactivity网关等设备,可巧知道它们均撑持此功效。
ApacheAsis团队的SteveLoughran针对本文批评说:ApacheAxis默许情形下不会串线【译者注:意指超过挪用界限】传送完全的仓库踪影[……]。你不必要分外利用XML平安硬件,只必要锁定端点的基础信息就能够。 他还提到了Axis平安指南。
关于第二个威逼——元数据公布,Anil说:在WSDL中发明的这类信息,也就是只需在服务端点URL前面加上?WSDL就能够容易失掉的信息,关于要寻觅服务中弱点的打击者来讲,是个相对有效的信息源。因而,如许的信息不该该被供应,大概最好间接封闭。 假如元数据公布被封闭了,那末客户端怎样晓得定位大概叫醒Web服务的办法呢?据Anil所述,一个大概的办法是到场含有符合的会见把持机制的企业注册/堆栈,并依据左券优先办法制止WSDL的主动天生。
在文章“回护你的WCF元数据”中,DominickBaier注释了一些有关WCF元数据公布的细节。他给出了一些回护元数据公布的办法:
- 强迫利用SSL;
- 经由过程开辟完成IMetadataExchange和含有完全WCF平安特征集的定制绑定,表露元数据互换(MetadataExchange,MEX)端点;
- 同意用户经由过程WMI从WCF服务中检索元数据。
别的在“给WCF元数据授与会见权限”文章中,Dominick还从手艺角度谈到了检测元数据检索哀求等。
检察英文原文:WCFandInformationDisclosureThreats
来自:http://www.infoq.com/cn/news/2008/09/wcf-information-disclosure
你所列的那些其实差不多都可以称为应用服务器(servlet应该说是一种语言更合适)net网页编程是开放的,相同的工具就会有很多公司在做,加上net网页编程已经发展了很多年了,因此这些工具就很多了。他们很多都是类似的。 |
|