BT

InfoQ ホームページ ニュース WCFおよび情報開示の脅威

WCFおよび情報開示の脅威

ブックマーク

Anil John氏(リンク)が情報開示の脅威およびWebサービス(リンク)について書いている。その記事内で、潜在的なアタッカーがどのようにアタックの準備をするのか、そして一部の共通Webサービスがどのようにこのような脅威を「サポート」するのかを掘り下げて考えている。

Anil氏は、「 操作前の監視」について述べているが、ITの分野では「情報開示の脅威」に分類される。氏は起こり得る2つの脅威について、以下のように詳しく説明している。

  1. SOAP障害エラーメッセージ
  2. WSDL スキャン/占有スペース/列挙型

SOAP障害エラーメッセージについて、以下のように述べている。

… アタッカーが好む戦術は、接続ストリング、スタックのトレースやその他の機密情報がSOAP障害になることを期待して、Webサービスで例外や障害を故意に発生させようとすることである。

Anil氏は2通りの対応策を提供している。1つ目はPatterns & Practices BookのWeb Service Security(リンク)(無償PDFバージョン)(リンク)およびWCF Security Guide(参考記事)(無償PDFバージョン)(リンク)で述べられている通り「Exception Shielding Pattern」(リンク)である。代わりに「XML Security Gatewayのようなハードウェアデバイスを使用する」ことができると指摘している。また「Layer 7の他にもCisco/Reactivity Gatewaysとの直接的な経験があり、 それらがこの機能をサポートすることを偶然知った」と述べている。

かつてApache AxisチームであったSteve Loughran氏(リンク)は、以下のようにコメントしている。

Apache Axisは、書き込みに対する完全なスタックトレースを送信しないことをデフォルトにしている。エンドポイントの基礎をロックダウンするためだけに、追加でXMLセキュリティハードウェアを購入する必要はない。

また、Axisセキュリティガイド(リンク)にも触れている。

2つ目の脅威に関して、Anil氏は以下のように述べている。

WSDLにある情報の型およびサービスエンドポイントURLの最後にWSDLを付加することで取得可能なものは、サービスで弱みに付け込もうとしているア タッカーにとっては極めて便利な情報源となり得る。したがって、そういうものは提供すべきではない。もしくはオフにしておくべきである。

メタデータの公開がオフの場合、クライアントはどのようにしてWebサービスに取り組んだり、起動したりする方法を知るのか?Anil氏によると「適切な アクセス制御メカニズムがあるエンタープライズレジストリ/リポジトリ」は、「contact-firstアプローチに従うことで(リンク)」「WSDLの自動生 成」を控える。

Dominick Baier氏(リンク)はSecuring WCF Metadata(リンク)の記事内でWCFメタデータの公開について詳述している。以下によって、メタデータの公開を確実にすることについて書いている。

  • SSLの実行
  • IMetadataExchangeを実装し、完全なWCFセキュリティ機能のセット(標準mex*バインディングはセキュリティをサポートしない)を組 み込むカスタムバインディングを開発することでMetadata Exchange(MEX)エンドポイントを公開する。もしくは、
  • カスタマーが「WMI経由でWCFサービスからメタデータを検索する」ことを可能にする。

Dominick氏は「Authorizing Access to WCF Metadata」(リンク)の投稿記事に、メタデータの検索要求を探知する技法について指摘している。

原文はこちらです:http://www.infoq.com/news/2008/09/wcf-information-disclosure

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT

あなたのプロファイルは最新ですか?プロフィールを確認してアップデートしてください。

Eメールを変更すると確認のメールが配信されます。

会社名:
役職:
組織規模:
国:
都道府県:
新しいメールアドレスに確認用のメールを送信します。このポップアップ画面は自動的に閉じられます。