【问题标题】:How to conceal WCF service address in Silverlight?如何在 Silverlight 中隐藏 WCF 服务地址?
【发布时间】:2012-12-16 07:08:07
【问题描述】:

我们有使用 WCF 服务的 silverlight 应用程序。在渗透测试期间,我们发现了一些问题。建议之一是在 silverlight 端对 WCF 服务地址进行加扰/加密。

这是一种标准做法还是有任何价值?如果服务是安全的,用户是否能够通过知道 WCF 服务位置来获得任何信息。因为用户可以随时反编译silverlight xap,了解我们是如何加密WCF地址的。

【问题讨论】:

  • 没什么意义...您可以使用 Fiddler 查找您的 Silverlight 应用程序连接的地址。如果你的服务得到了正确的保护,我猜你唯一真正的风险是 DOS 攻击。

标签: wcf silverlight security


【解决方案1】:

在您提供的数据中隐藏秘密(例如在客户端代码中)是一个众所周知的难题。基本上,这就是 DRM 系统试图做的事情,而且它们都不是防黑客的。如果您将秘密和检索该秘密的代码都提供给某人,那么有人会找出秘密。正如 JeffN825 指出的那样,您始终可以使用线路监控工具来找出地址(HTTPS 地址有点困难,但仍然可能)。因此,我不会在隐藏地址方面付出太多努力,这只是隐蔽的安全性,只会延迟潜在的攻击者。如果该服务需要用户身份验证,我只会专注于使该部分安全。如果您尝试验证应用程序,而不是用户,这是一个更困难的问题,需要一个完整的单独讨论,但地址隐藏无法解决。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多