2

两天前我听说过肥皂,从那以后我就成功地与服务器通信了。但我不熟悉 SOAP 协议

我的应用程序会将敏感数据传输到服务器,这表示我一直想知道主应用程序的创建者使用的方法是否足够安全:

<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
  <soap12:Body>
    <GetArtigoRef xmlns="http://www.*********.com:**/">
      <username>string</username>
      <password>string</password>
      <referencia>string</referencia>
    </GetArtigoRef>
  </soap12:Body>
</soap12:Envelope>

您可能会注意到,用户名和密码以纯文本形式位于前两个字段中,而且识别得非常好。

通过 php 和 soapcall 发送数据时,我没有使用任何类型的加密。

我能从中得到什么?有什么担心或我可以冷静吗?

非常感谢您的开导!祝大家欢呼。

4

3 回答 3

0

如果您通过 httpS 调用 SOAP,则足够安全。

于 2013-10-05T20:01:59.640 回答
0

如果我可以这么说,我认为这是肥皂服务器的标准。我会更关心 http,而不是 http* s * 。那将是我要改变的一件事。

其次,这与您要连接的服务器有关。想象一下,您向服务器发送一个预先加盐的密码,然后它会加盐 :) 可以做一些有趣的测试。

据我所知,这就是它的工作原理,即使是 LDAP 和其他soap部署。密码始终以明文形式发送 =\

也许有人可以建议一种更安全的与服务器通信的方式。

于 2013-10-05T20:08:57.193 回答
0

处理这些消息的服务器必须使用 SSL。他们必须有一个真正的证书,而不是自签名的。此外,他们的 Web 服务器必须配置为不允许过时的协议(请参阅 OWASP-CM-001)。否则你很容易受到各种肮脏的影响。

这是行业标准,应该没什么大不了的。SSL 对于凭证的安全处理是绝对必要的。

于 2013-10-08T03:11:38.767 回答