公開SOAP WSDLファイルにセキュリティ上の問題がありますか？

Question

公開ユーザーが閲覧可能なSOAP WSDLファイルがあります。最近、私たちの組織の中には、これがセキュリティ上の懸念を引き起こすかどうかに疑問を呈しています。

誰でもセキュリティ上の懸念事項として一般公開されているファイルWSDLがありますか？使用可能なすべての機能には、ログインしているユーザーが必要です。

Answer 1

WSDLを公開してセキュリティ上の問題が発生した場合、WSDLを公開しなくてもセキュリティ上の問題があり、その問題を解決する必要があります。

WSDLはあなたのプロトコルを説明しています。あなたのプロトコルは秘密であると想定することはできません。攻撃者はあなたのWSDLなしでもそれをリバースエンジニアリングすることができます。ネットワーク接続の相手側のクライアントが "自分の"クライアントであるとは決して想像できません。あなたはそれが攻撃者であると想定し、その事実に対処するようにシステムを設計する必要があります。

したがって、WSDLを隠すことは、重大なセキュリティを提供しない難読化のマイナーな形態です。しかし、...あなたのWSDLを隠しているのは非常に簡単で、余分な作業は必要ありません。それを隠すと、自動スクリプトの種類によっては攻撃を試みる可能性があります。そして、それは攻撃者のための1つの余分な小さな頭痛を作成します。

WSDLが隠れている大きな危険の1つは、WSDLが秘密であると考える開発者にとっては、それが駄目だということです。それが問題になる可能性のあるチームがあれば、私はそれを集中しておくために公開しておきます。

その他の重大な危険は、システムを管理しにくい（たとえばアップグレードするのが難しくなる）場合です。そうだとすれば、私は絶対にそれを隠さないでしょう。クライアントの余分な複雑さは、パブリックWSDLよりもセキュリティリスクが大きいことはほぼ確実です。