Find centralized, trusted content and collaborate around the technologies you use most.
Teams
Q&A for work
Connect and share knowledge within a single location that is structured and easy to search.
接收 WCF 响应时可能发生哪些不同类型的威胁?防止此类威胁的缓解计划可能是什么?
注意:此查询基于 WCF 威胁建模概念。
任何 API 的最大威胁是它的攻击面。您正在公开可能容易受到 SQL 注入和目录遍历等常见漏洞攻击的功能。
当涉及到 WCF 响应时,这取决于数据的使用方式。例如,如果您从 WCF 接口获取数据然后构建查询,您仍然可能容易受到 SQL 注入的攻击!如果您正在获取该数据,然后将其显示在 HTML 页面上,那么您很容易受到 XSS 的攻击。
可能存在的漏洞完全取决于数据的使用方式。您不应该信任任何数据源,甚至不应该信任您自己的数据库。确保在使用时清理数据。使用参数化查询来停止 SQLi。