Manipulering

Manipulering är att ändra ett meddelande eller leverera ett meddelande och använda det ändrade meddelandet för ett annat syfte än vad det var avsett för.

Inaktivera inte WS-adressering

Specifikationen för WS-Adressering innehåller adresshuvuden för varje meddelande, så att en meddelandemottagare kan verifiera meddelandets avsändare. Du kan inaktivera den här funktionen genom att ange Addressing egenskapen till None.

När säkerhetsläget är inställt på Meddelande, och om WS-Adressering är inaktiverat, kan en angripare ta en begäran från en klient och skicka den till en annan tjänst, och den andra tjänsten har inget sätt att identifiera att meddelandet kom från den ursprungliga klienten. I själva verket kan den första tjänsten låtsas att det är en klient när du pratar med den andra tjänsten.

För att minimera detta anger du Addressing aldrig egenskapen till Noneoch undviker användning av MessageVersion, till exempel den statiska Soap12 egenskapen, som anger Addressing egenskapen till None.

Se även

• Säkerhetsöverväganden
• Avslöjande av information
• Behörighetshöjning
• Denial of Service
• Scenarier som inte stöds
• Spela upp attacker