我们有使用 WCF 服务的 silverlight 应用程序。在渗透测试期间,我们发现了一些问题。建议之一是在 silverlight 端对 WCF 服务地址进行加扰/加密。
这是一种标准做法还是有任何价值?如果服务是安全的,用户是否能够通过知道 WCF 服务位置来获得任何信息。因为用户总是可以反编译silverlight xap,了解我们是如何加密WCF地址的。
问问题
70 次
1 回答
1
在您提供的数据中隐藏秘密(例如在客户端代码中)是一个众所周知的难题。基本上,这就是 DRM 系统试图做的事情,而且它们都不是防黑客的。如果您将秘密和检索该秘密的代码都提供给某人,那么有人会找出秘密。正如 JeffN825 指出的那样,您始终可以使用线路监控工具来找出地址(HTTPS 地址有点困难,但仍然可能)。因此,我不会在隐藏地址方面付出太多努力,这只是隐蔽的安全性,只会延迟潜在的攻击者。如果该服务需要用户身份验证,我将只专注于使该部分安全。如果您尝试验证应用程序,而不是用户,这是一个更困难的问题,需要一个完整的单独讨论,但它'
于 2012-12-17T05:34:13.513 回答