xml – Public SOAP WSDL文件存在安全问题?

前端之家收集整理的这篇文章主要介绍了xml – Public SOAP WSDL文件存在安全问题?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们有一个可供公共用户查看的SOAP WSDL文件.最近,我们组织中的一些人质疑这是否会引起安全问题.

是否有人认为公众可以查看WSDL文件作为安全问题?所有可用功能都需要登录用户.

简短的回答是:如果发布您的WSDL代表安全问题,那么即使您没有发布WSDL也存在安全问题,并且您需要解决该问题,而不仅仅是尝试隐藏它.

WSDL只是解释了你的协议.你不能认为你的协议是秘密;没有您的WSDL,攻击者仍然可以对其进行逆向工程.您永远不能假设网络连接另一端的客户端是“您的”客户端.你必须假设它是一个攻击者,并设计你的系统来处理这个事实.

因此,隐藏您的WSDL是一种较小的混淆形式,不会提供严重的安全性.但是……如果隐藏你的WSDL非常容易,并且你不需要额外的工作,当然,为什么不呢?隐藏它可能会阻止某些类型的自动脚本试图攻击您.它确实为攻击者带来了一个额外的小问题.

隐藏WSDL的一个主要危险是,它可能会导致认为WSDL因此是秘密的开发人员的邋..如果你有一个可能成为问题的团队,我会公开它只是为了让他们专注.

另一个主要危险是它是否会使您的系统更难维护(例如,难以升级).如果是这样的话,我绝对不会隐藏它.与公共WSDL相比,客户端的额外复杂性几乎肯定是一个更大的安全风险.

猜你在找的XML相关文章