Tampering (manipulowanie)

Manipulowanie jest aktem zmiany wiadomości lub dostarczania wiadomości i używania zmienionego komunikatu do celu innego niż to, do czego był przeznaczony.

Nie wyłączaj adresowania WS

Specyfikacja adresowania WS zawiera nagłówki adresów dla każdej wiadomości, dzięki czemu odbiorca wiadomości może zweryfikować nadawcę wiadomości. Tę funkcję można wyłączyć, ustawiając Addressing właściwość na None.

Gdy tryb zabezpieczeń jest ustawiony na Komunikat, a jeśli adresowanie WS jest wyłączone, osoba atakująca może wysłać żądanie od klienta i wysłać go do innej usługi, a druga usługa nie może wykryć, że komunikat pochodzi z oryginalnego klienta. W efekcie pierwsza usługa może udawać, że jest to klient podczas rozmowy z drugą usługą.

Aby temu zapobiec, nigdy nie należy ustawiać Addressing właściwości na None, i unikać używania MessageVersionwłaściwości , takiej jak właściwość statyczna Soap12 , która ustawia Addressing właściwość na Nonewartość .

Zobacz też

• Zagadnienia związane z zabezpieczeniami
• Information Disclosure (ujawnienie informacji)
• Elevation of Privilege (podniesienie uprawnień)
• Denial of Service (odmowa usługi)
• Nieobsługiwane scenariusze
• Ataki oparte na metodzie powtórzeń