BT

WCFおよび情報開示の脅威

| 作者: Hartmut Wilms フォローする 0 人のフォロワー , 翻訳者 編集部 フォローする 0 人のフォロワー 投稿日 2008年9月30日. 推定読書時間: 3 分 |

Anil John氏(リンク)が情報開示の脅威およびWebサービス(リンク)について書いている。その記事内で、潜在的なアタッカーがどのようにアタックの準備をするのか、そして一部の共通Webサービスがどのようにこのような脅威を「サポート」するのかを掘り下げて考えている。

Anil氏は、「 操作前の監視」について述べているが、ITの分野では「情報開示の脅威」に分類される。氏は起こり得る2つの脅威について、以下のように詳しく説明している。

  1. SOAP障害エラーメッセージ
  2. WSDL スキャン/占有スペース/列挙型

SOAP障害エラーメッセージについて、以下のように述べている。

… アタッカーが好む戦術は、接続ストリング、スタックのトレースやその他の機密情報がSOAP障害になることを期待して、Webサービスで例外や障害を故意に発生させようとすることである。

Anil氏は2通りの対応策を提供している。1つ目はPatterns & Practices BookのWeb Service Security(リンク)(無償PDFバージョン)(リンク)およびWCF Security Guide(参考記事)(無償PDFバージョン)(リンク)で述べられている通り「Exception Shielding Pattern」(リンク)である。代わりに「XML Security Gatewayのようなハードウェアデバイスを使用する」ことができると指摘している。また「Layer 7の他にもCisco/Reactivity Gatewaysとの直接的な経験があり、 それらがこの機能をサポートすることを偶然知った」と述べている。

かつてApache AxisチームであったSteve Loughran氏(リンク)は、以下のようにコメントしている。

Apache Axisは、書き込みに対する完全なスタックトレースを送信しないことをデフォルトにしている。エンドポイントの基礎をロックダウンするためだけに、追加でXMLセキュリティハードウェアを購入する必要はない。

また、Axisセキュリティガイド(リンク)にも触れている。

2つ目の脅威に関して、Anil氏は以下のように述べている。

WSDLにある情報の型およびサービスエンドポイントURLの最後にWSDLを付加することで取得可能なものは、サービスで弱みに付け込もうとしているア タッカーにとっては極めて便利な情報源となり得る。したがって、そういうものは提供すべきではない。もしくはオフにしておくべきである。

メタデータの公開がオフの場合、クライアントはどのようにしてWebサービスに取り組んだり、起動したりする方法を知るのか?Anil氏によると「適切な アクセス制御メカニズムがあるエンタープライズレジストリ/リポジトリ」は、「contact-firstアプローチに従うことで(リンク)」「WSDLの自動生 成」を控える。

Dominick Baier氏(リンク)はSecuring WCF Metadata(リンク)の記事内でWCFメタデータの公開について詳述している。以下によって、メタデータの公開を確実にすることについて書いている。

  • SSLの実行
  • IMetadataExchangeを実装し、完全なWCFセキュリティ機能のセット(標準mex*バインディングはセキュリティをサポートしない)を組 み込むカスタムバインディングを開発することでMetadata Exchange(MEX)エンドポイントを公開する。もしくは、
  • カスタマーが「WMI経由でWCFサービスからメタデータを検索する」ことを可能にする。

Dominick氏は「Authorizing Access to WCF Metadata」(リンク)の投稿記事に、メタデータの検索要求を探知する技法について指摘している。

原文はこちらです:http://www.infoq.com/news/2008/09/wcf-information-disclosure

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT