完全な第三者の侵入テストに先立って、クライアントの1人がシステムに対して予備的なセキュリティ監査を行っています。SOAPセキュリティのアドバイスが必要
これはわれわれが対処してくれる可能性がある潜在的な悪用を明らかにしましたが、私が同意しているとは確信していませんが、私は彼らを説得することができませんでした。
改ざんされたメッセージをSoapベースのWebサービスの1つに送信でき、エラーを報告していることが報告されています。これは、サーバーがメッセージを処理しようとしたことを示唆しています。
だから要求は次のようになります -
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://example.com/soap/envelope/]]>><" xmlns:s="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<SOAP-ENV:Body>
<tns:SomeMethod xmlns:tns="http://example.com/"/>
</SOAP-ENV:Body>
</SOAP-ENV:Envelope>
注意エンコード]] > <>はのxmlnsに挿入:SOAP-ENV属性。
サーバーからの応答は次のとおりです。 -
<soap:Body>
<soap:Fault>
<faultcode>soap:VersionMismatch</faultcode>
<faultstring>Possible SOAP version mismatch: Envelope namespace http://example.com/soap/envelope/]]>>< was unexpected. Expecting http://example.com/soap/envelope/.</faultstring>
<detail />
</soap:Fault>
</soap:Body>
彼らの引数は、このペイロードがXMLドキュメントに挿入されているので、(おそらくXXEが悪用ようなものに私たちを暴露する)処理されたことを示すことですそのエラーが一般的な500エラーではなくSOAPエラーであるという事実がこれを証明しています。
私はこれが当てはまるとは確信していませんが、私はこれをクライアントに説得するのに苦労しています。この(https://msdn.microsoft.com/en-us/library/aa480498.aspx)の記事によると、XmlSerializerは、SOAP Xmlをパラメータメーターにシリアル化してデシリアライズすることに責任を負うため、これは悪質なSOAPエンベロープを拒否しています。
セキュリティ上の問題があるかどうかは誰にでも確認できますか?それをどうやって解決すればいいの?
多くの回答に感謝します。これは私たちが思ったようなものです。 –