Anil John氏(リンク)が情報開示の脅威およびWebサービス(リンク)について書いている。その記事内で、潜在的なアタッカーがどのようにアタックの準備をするのか、そして一部の共通Webサービスがどのようにこのような脅威を「サポート」するのかを掘り下げて考えている。
Anil氏は、「 操作前の監視」について述べているが、ITの分野では「情報開示の脅威」に分類される。氏は起こり得る2つの脅威について、以下のように詳しく説明している。
- SOAP障害エラーメッセージ
- WSDL スキャン/占有スペース/列挙型
SOAP障害エラーメッセージについて、以下のように述べている。
… アタッカーが好む戦術は、接続ストリング、スタックのトレースやその他の機密情報がSOAP障害になることを期待して、Webサービスで例外や障害を故意に発生させようとすることである。
Anil氏は2通りの対応策を提供している。1つ目はPatterns & Practices BookのWeb Service Security(リンク)(無償PDFバージョン)(リンク)およびWCF Security Guide(参考記事)(無償PDFバージョン)(リンク)で述べられている通り「Exception Shielding Pattern」(リンク)である。代わりに「XML Security Gatewayのようなハードウェアデバイスを使用する」ことができると指摘している。また「Layer 7の他にもCisco/Reactivity Gatewaysとの直接的な経験があり、 それらがこの機能をサポートすることを偶然知った」と述べている。
かつてApache AxisチームであったSteve Loughran氏(リンク)は、以下のようにコメントしている。
Apache Axisは、書き込みに対する完全なスタックトレースを送信しないことをデフォルトにしている。エンドポイントの基礎をロックダウンするためだけに、追加でXMLセキュリティハードウェアを購入する必要はない。
また、Axisセキュリティガイド(リンク)にも触れている。
2つ目の脅威に関して、Anil氏は以下のように述べている。
WSDLにある情報の型およびサービスエンドポイントURLの最後にWSDLを付加することで取得可能なものは、サービスで弱みに付け込もうとしているア タッカーにとっては極めて便利な情報源となり得る。したがって、そういうものは提供すべきではない。もしくはオフにしておくべきである。
メタデータの公開がオフの場合、クライアントはどのようにしてWebサービスに取り組んだり、起動したりする方法を知るのか?Anil氏によると「適切な アクセス制御メカニズムがあるエンタープライズレジストリ/リポジトリ」は、「contact-firstアプローチに従うことで(リンク)」「WSDLの自動生 成」を控える。
Dominick Baier氏(リンク)はSecuring WCF Metadata(リンク)の記事内でWCFメタデータの公開について詳述している。以下によって、メタデータの公開を確実にすることについて書いている。
- SSLの実行
- IMetadataExchangeを実装し、完全なWCFセキュリティ機能のセット(標準mex*バインディングはセキュリティをサポートしない)を組 み込むカスタムバインディングを開発することでMetadata Exchange(MEX)エンドポイントを公開する。もしくは、
- カスタマーが「WMI経由でWCFサービスからメタデータを検索する」ことを可能にする。
Dominick氏は「Authorizing Access to WCF Metadata」(リンク)の投稿記事に、メタデータの検索要求を探知する技法について指摘している。
原文はこちらです:http://www.infoq.com/news/2008/09/wcf-information-disclosure