如何在WCF中应用OWASP
如果您的WCF服务在防火墙后面运行(这是最常见的情况),OWASP不适用。使用WCF时的典型设置是使WebAPI或MVC与Internet连接并运行WCF服务作为后端服务与数据库通话。
谢谢, Soma。
WCF是构建服务的框架。您可以使用它构建SOAP或REST服务。大部分OWASP top 10适用于在Web上公开它们或者当它们间接接受来自不受信任来源的输入时使用WCF构建的服务。
其中一些像XSS和CSRF一样适用于暴露于互联网的WCF REST服务,但其他像A1, A2, A5, A6, A7 and A9也适用于WCF SOAP服务。在防火墙后运行服务不会缓解任何这些威胁。而且,在某些情况下,SOAP服务也可能暴露于互联网。
谢谢,假设我们需要将我们的WCF SOAP服务公开给Internet,那么我应该查找哪些内容(来自owasp列表)? –
@ AhmadAbu-Hamideh您至少需要解决以下问题:安全配置(使用https绑定),输入验证(拒绝恶意输入),用户验证(验证安全令牌),用户授权(允许用户调用此方法) 。 – MvdD
谢谢,假设我们需要将我们的WCF SOAP服务公开到Internet上,我应该查找哪些内容(来自owasp列表)?\ –
如果您的服务可以访问数据库,请确保您正在使用SQL参数/存储过程只能传递数据。确保用户输入始终得到验证。由于这是一个WCF服务,因此使用Token仅用于身份验证以避免CSRF攻击是一种很好的做法。 HTTPS仅用作传输模式。我会实施我的服务,以便每个终点在默认情况下都是安全的,我会明确地打开那些不是的。如果您公开的数据非常敏感,我甚至会将可以访问资源的域列入白名单。 - Thankyou Soma。 –