Ich lese gerade über die Top 10 OWASP, und ich frage mich nur, ob dies auf WCF anwendbar ist?Wie man OWASP in WCF anwendet
gibt es eine andere Liste von OWASP für WCF?
Bitte beachten Sie, dass ich immer noch ein Neuling auf WCF Welt bin.
Wenn Ihr WCF-Dienst hinter der Firewall ausgeführt wird (was der häufigste Fall ist), gilt OWASP nicht. Eine typische Einrichtung bei der Verwendung von WCF besteht darin, dass eine WebAPI oder MVC das Internet verbindet und die WCF-Dienste als Back-End-Dienste ausführt, die mit Ihren Datenbanken kommunizieren.
Vielen Dank, Soma.
WCF ist ein Framework zum Erstellen von Diensten. Sie können damit entweder SOAP- oder REST-Dienste erstellen. Die meisten der OWASP top 10 gelten für Dienste, die mit WCF erstellt werden, wenn Sie sie im Web verfügbar machen oder wenn sie indirekt Eingaben von nicht vertrauenswürdigen Quellen akzeptieren.
Einige von ihnen, wie XSS und CSRF, gelten nur für WCF-REST-Dienste, die dem Internet ausgesetzt sind. Andere wie A1, A2, A5, A6, A7 and A9 sind jedoch auch auf WCF-SOAP-Dienste anwendbar. Wenn Sie Ihren Dienst hinter einer Firewall ausführen, werden diese Bedrohungen nicht gemindert. Unter bestimmten Umständen können SOAP-Dienste auch dem Internet ausgesetzt sein.
Danke, vorausgesetzt, dass wir unsere WCF-SOAP-Dienste dem Internet zugänglich machen müssen, worauf sollte ich achten (aus der Owasp-Liste)? –
@ AhmadAbu-Hamideh Sie müssen mindestens diese adressieren: Sicherheitskonfiguration (https bindings verwenden), Eingabeüberprüfung (böswillige Eingabe ablehnen), Benutzerauthentifizierung (Sicherheits-Token validieren), Benutzerautorisierung (darf Benutzer diese Methode aufrufen) . – MvdD
Vielen Dank, vorausgesetzt, wir müssen unsere WCF SOAP-Dienste dem Internet zugänglich machen. Was sollte ich (aus der Owasp-Liste) beachten? \ –
Wenn Ihr Dienst Zugriff auf die Datenbank hat, stellen Sie sicher, dass Sie SQL-Parameter verwenden. gespeicherte Prozeduren nur zum Übergeben der Daten. Stellen Sie sicher, dass die Benutzereingabe immer gültig ist. Da es sich um einen WCF-Dienst handelt, empfiehlt es sich, Token nur zur Authentifizierung zu verwenden, um CSRF-Angriffe zu vermeiden. HTTPS nur als Transportmodus. Ich würde meinen Dienst so implementieren, dass jeder Endpunkt standardmäßig sicher ist und ich explizit diejenigen öffnen werde, die dies nicht tun. Wenn die Daten, die Sie veröffentlichen, extrem empfindlich sind, würde ich sogar die Domain auf die weiße Liste setzen, die Zugriff auf die Ressourcen haben kann. - Danke Soma. –