安全的建議：對投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-P

2024-09-05 20:55:53

字體：大中小

來源：轉載

供稿：網友

關于安全的建議：對投入使用的 xml web services 禁用 http-get 和 http-post 協議
microsoft corporation
2002 年 2 月

摘要：出于安全原因，web service 操作人員可能需要對 xml web services 禁用 http-get 和 http-post 消息處理協議。禁用這些協議有助于防止外部 web 站點與您的 intranet 上的 xml web services 進行惡意通信。

簡介

由于 http-get 和 http-post 消息處理協議的固有功能，在某些條件下，惡意 web 頁可以使用它所定義的參數調用在防火墻后面運行的 xml web service。這與某些基于 http-get 的惡意重定向問題類似。如果 xml web service 支持使用 http-get 或 http-post 消息處理協議（對于使用 asp.net 創建的 xml web services，將默認啟用這些協議）進行通信，就可能會發生此類安全問題。
盡管使用 http-post 創建惡意 web 頁并不容易，但如果 xml web services 沒有使用 http-get 和 http-post 消息處理協議，還是應該在提供用 asp.net 創建的 xml web services 的生產用計算機上禁用對這兩個協議的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
圖 1：常見的惡意通信事件步驟說明1位于防火墻后面的 http 客戶端（如 microsoft® internet explorer）瀏覽一個包含鏈接的惡意 web 頁。2web 服務器向客戶端返回一個包含惡意鏈接的 web 頁。當用戶單擊該鏈接時，即對客戶端所在的 intranet 上的 xml web service 發出請求（用戶并不知道該請求）。3惡意 web 頁將使用基于 web 頁提供的參數和用戶憑據向 xml web service 發出請求。
只有在下列條件下才會發生圖 1 所示的情況：

xml web service 支持使用 http-get 或 http-post 消息處理協議進行通信。（使用 http-post 的情況比較復雜，請參閱以下關于 http-post 的代碼示例。）
惡意 web 頁的外部開發人員了解 xml web service 是否存在以及如何調用的詳細信息。
客戶端具有執行內部 xml web service 的訪問權限。

雖然這種情況概括的是如何使用 http-get 惡意調用 xml web service，但同樣適用于 http-post。要使用 http-post 以類似的方法執行 xml web service，web 頁必須包含腳本，以便在用戶單擊某處導致消息發送回外部 web 服務器時，將客戶端重定向到 xml web service。
下面的代碼示例是一個包含惡意鏈接的 web 頁，該鏈接指向在客戶端所在的 intranet 上運行并使用 http-get 協議的 xml web service。在此示例中，用戶必須單擊鏈接；不過，也有可能 web 頁包含執行重定向的腳本，因而不需要用戶的交互操作。

<html>
<body>
<a  href = "http://anintranetserver/401k.asmx/changewithholding?pretax=  [email protected]=0">快速致富！</a>
</body>
</html>

同樣，下面的代碼示例是一個包含惡意按鈕的 web 頁，該按鈕能夠與在客戶端所在的 intranet 上運行并使用 http-post 協議的 xml web service 進行通信。

<form method="post"  action="http://anintranetserver/401k.asmx/changewithholding">
  <input type="hidden" name="pretax" value="2.5">
  <input type="hidden" name="posttax" value="3.5">
  <input type="submit" value="快速致富。單擊此處了解詳細消息。" ></p>
</form>

需要說明的是，這種情況對只能通過 http 協議的 soap 與之通信的 xml web service 不適用。soap 請求需要 soapaction http 標頭，而 web 頁不具有在使用鏈接的重定向中包含該標頭的功能。

對基于 asp.net 的 xml web services 禁用 http-get 和 http-post 協議

默認情況下，客戶端可以使用以下三種協議與使用 asp.net 創建的 xml web services 進行通信：http-get、http-post 和通過 http 的 soap。使用 microsoft .net 框架支持的配置系統，您可以在單獨的 web 應用程序或整個計算機中修改 xml web services 所支持的協議。
無論是在計算機上還是在單個 web 應用程序中禁用 http-get 和 http-post，都只需修改配置文件，該文件在 .net 框架中只是一個簡單的文本文件。計算機的默認配置是在 machine.config 文件中進行設置的，對于每個 web 應用程序，您可以修改該 web 應用程序的根目錄中的 web.config 文件而不是 machine.config 文件。
在不需要 http-get 和 http-post 消息處理協議的生產用計算機上，最好在整個計算機中禁用對這些協議的支持。對于 xml web service 客戶端使用 http-get 或 http-post 與 xml web service 進行通信的特殊情況，可以為使用這些協議的 web 應用程序添加對這些協議的支持。

在整個計算機上禁用 http-get 和 http-post 協議（建議）

使用常用的文本編輯器打開 machine.config 文件。（默認安裝將 machine.config 放在 c:/windows/microsoft.net/framework/v1.0.3705/config 文件夾中。）

在 webservices 節中標出添加 http-get 和 http-post 支持的命令行。執行此操作后，webservices 節應如下所示：

<webservices>
    <protocols>
      <add name="httpsoap"/>
          <!-- <add name="httppost"/> --> 
         <!-- <add name="httpget"/>  -->
      <add name="documentation"/>
     </protocols>
</webservices>

保存 machine.config。
此配置更改將在下一次對該計算機上的 xml web service 發出請求時生效。

在單個 web 應用程序上禁用 http-get 和 http-post 協議

使用常用的編輯器打開 web 應用程序根目錄中的 web.config 文件。（如果不存在 web.config 文件，則創建該文件。）

修改 web.config 的 webservices 節，使用以下格式顯式刪除 http-post 和 http-get 協議（如果 web.config 文件不包含 webservices 節，則添加該節）：

<webservices>
     <protocols>
       <remove name="httppost" />
       <remove name="httpget" />
     </protocols>
</webservices>

保存 web.config。
此配置更改將在下一次對該 web 應用程序上的 xml web service 發出請求時生效。

在單個 web 應用程序上添加 http-get 和 http-post 協議支持

使用常用的編輯器打開 web 應用程序根目錄中的 web.config 文件。（如果不存在 web.config 文件，則創建該文件。）

修改 web.config 的 webservices 節，使用以下格式添加 http-post 和 http-get 協議（如果 web.config 文件不包含 webservices 節，則添加該節）：

<webservices>
     <protocols>
       <add name="httppost" />
       <add name="httpget" />
     </protocols>
</webservices>

保存 web.config。

此配置更改將在下一次對該 web 應用程序上的 xml web service 發出請求時生效。

禁用 http-get 和/或 http-post 的影響

對于生產用計算機，禁用 http-get 和 http-post 協議所帶來的弊端微乎其微。弊端包括：

xml web service 的默認服務幫助頁面繼續有效，但潛在的客戶端將無法使用服務幫助頁面上的 invoke（調用）按鈕測試 xml web service。
如果要在 microsoft visual studio® .net 中調試 xml web service，您必須創建一個測試客戶端程序。

對于投入使用的 xml web service，這兩個弊端都可以輕松克服，因為 visual studio .net 提供了 add web reference（添加 web 引用）命令，使創建 xml web service 的客戶端變得非常簡單。

總結

提供用 asp.net 創建的 xml web services 的生產用計算機應該在整個計算機中禁用對 http-get 和 http-post 消息處理協議的支持，以避免在很多情況下可能出現的安全問題。對于早期開發而言，您可以在開發用計算機上啟用這些協議；這樣，開發用計算機便可以使用服務幫助頁面來測試 xml web services。將計算機投入實際使用時，請修改 .config 文件以禁用 http-get 和 http-post 協議。
需要說明的是，這并不是 xml web service 開發人員應當采取的唯一安全措施，它只是保護 xml web service 的安全所涉及的諸多步驟和問題之一。

本文來源于網頁設計愛好者web開發社區http://www.html.org.cn收集整理，歡迎訪問。

上一篇：保護 XML Web 服務免受黑客攻擊(2)

下一篇：可靠的 XML Web Service （1）