篡改
篡改是一种更改消息或消息的传递方式,并将更改后的消息用于非原有用途的其他用途的行为。
不要禁用 WS-Addressing
WS-Addressing 规范在每条消息中提供了地址标头,从而允许消息接收方验证消息的发送方。将 Addressing 属性设置为 None 可禁用此功能。
当安全模式设置为“消息”并且禁用了 WS-Addressing 时,攻击者就能获取来自客户端的请求,并将其发送到另一个服务,而第二个服务无法检测该消息是否来自于原客户端。实际上,第一个服务在与第二个服务通信时,可假装它是一个客户端。
为了避免这个问题,请不要将 Addressing 属性设置为 None,并避免使用 MessageVersion,如静态 Soap12 属性,它会将 Addressing 属性设置为 None。