安全的建議：對(duì)投入使用的 XML Web Services 禁用 HTTP-GET 和 HTTP-P

2024-09-05 20:55:53

字體：大中小

供稿：網(wǎng)友

關(guān)于安全的建議：對(duì)投入使用的 xml web services 禁用 http-get 和 http-post 協(xié)議
microsoft corporation
2002 年 2 月

摘要：出于安全原因，web service 操作人員可能需要對(duì) xml web services 禁用 http-get 和 http-post 消息處理協(xié)議。禁用這些協(xié)議有助于防止外部 web 站點(diǎn)與您的 intranet 上的 xml web services 進(jìn)行惡意通信。

簡(jiǎn)介

由于 http-get 和 http-post 消息處理協(xié)議的固有功能，在某些條件下，惡意 web 頁(yè)可以使用它所定義的參數(shù)調(diào)用在防火墻后面運(yùn)行的 xml web service。這與某些基于 http-get 的惡意重定向問(wèn)題類(lèi)似。如果 xml web service 支持使用 http-get 或 http-post 消息處理協(xié)議（對(duì)于使用 asp.net 創(chuàng)建的 xml web services，將默認(rèn)啟用這些協(xié)議）進(jìn)行通信，就可能會(huì)發(fā)生此類(lèi)安全問(wèn)題。
盡管使用 http-post 創(chuàng)建惡意 web 頁(yè)并不容易，但如果 xml web services 沒(méi)有使用 http-get 和 http-post 消息處理協(xié)議，還是應(yīng)該在提供用 asp.net 創(chuàng)建的 xml web services 的生產(chǎn)用計(jì)算機(jī)上禁用對(duì)這兩個(gè)協(xié)議的支持。
http://www.microsoft.com/china/msdn/library/dnnetsec/images/dishttpget01.gif
圖 1：常見(jiàn)的惡意通信事件步驟說(shuō)明1位于防火墻后面的 http 客戶端（如 microsoft® internet explorer）瀏覽一個(gè)包含鏈接的惡意 web 頁(yè)。2web 服務(wù)器向客戶端返回一個(gè)包含惡意鏈接的 web 頁(yè)。當(dāng)用戶單擊該鏈接時(shí)，即對(duì)客戶端所在的 intranet 上的 xml web service 發(fā)出請(qǐng)求（用戶并不知道該請(qǐng)求）。3惡意 web 頁(yè)將使用基于 web 頁(yè)提供的參數(shù)和用戶憑據(jù)向 xml web service 發(fā)出請(qǐng)求。
只有在下列條件下才會(huì)發(fā)生圖 1 所示的情況：

xml web service 支持使用 http-get 或 http-post 消息處理協(xié)議進(jìn)行通信。（使用 http-post 的情況比較復(fù)雜，請(qǐng)參閱以下關(guān)于 http-post 的代碼示例。）
惡意 web 頁(yè)的外部開(kāi)發(fā)人員了解 xml web service 是否存在以及如何調(diào)用的詳細(xì)信息。
客戶端具有執(zhí)行內(nèi)部 xml web service 的訪問(wèn)權(quán)限。

雖然這種情況概括的是如何使用 http-get 惡意調(diào)用 xml web service，但同樣適用于 http-post。要使用 http-post 以類(lèi)似的方法執(zhí)行 xml web service，web 頁(yè)必須包含腳本，以便在用戶單擊某處導(dǎo)致消息發(fā)送回外部 web 服務(wù)器時(shí)，將客戶端重定向到 xml web service。
下面的代碼示例是一個(gè)包含惡意鏈接的 web 頁(yè)，該鏈接指向在客戶端所在的 intranet 上運(yùn)行并使用 http-get 協(xié)議的 xml web service。在此示例中，用戶必須單擊鏈接；不過(guò)，也有可能 web 頁(yè)包含執(zhí)行重定向的腳本，因而不需要用戶的交互操作。

<html>
<body>
<a  href = "http://anintranetserver/401k.asmx/changewithholding?pretax=  [email protected]=0">快速致富！</a>
</body>
</html>

同樣，下面的代碼示例是一個(gè)包含惡意按鈕的 web 頁(yè)，該按鈕能夠與在客戶端所在的 intranet 上運(yùn)行并使用 http-post 協(xié)議的 xml web service 進(jìn)行通信。

<form method="post"  action="http://anintranetserver/401k.asmx/changewithholding">
  <input type="hidden" name="pretax" value="2.5">
  <input type="hidden" name="posttax" value="3.5">
  <input type="submit" value="快速致富。單擊此處了解詳細(xì)消息。" ></p>
</form>

需要說(shuō)明的是，這種情況對(duì)只能通過(guò) http 協(xié)議的 soap 與之通信的 xml web service 不適用。soap 請(qǐng)求需要 soapaction http 標(biāo)頭，而 web 頁(yè)不具有在使用鏈接的重定向中包含該標(biāo)頭的功能。

對(duì)基于 asp.net 的 xml web services 禁用 http-get 和 http-post 協(xié)議

默認(rèn)情況下，客戶端可以使用以下三種協(xié)議與使用 asp.net 創(chuàng)建的 xml web services 進(jìn)行通信：http-get、http-post 和通過(guò) http 的 soap。使用 microsoft .net 框架支持的配置系統(tǒng)，您可以在單獨(dú)的 web 應(yīng)用程序或整個(gè)計(jì)算機(jī)中修改 xml web services 所支持的協(xié)議。
無(wú)論是在計(jì)算機(jī)上還是在單個(gè) web 應(yīng)用程序中禁用 http-get 和 http-post，都只需修改配置文件，該文件在 .net 框架中只是一個(gè)簡(jiǎn)單的文本文件。計(jì)算機(jī)的默認(rèn)配置是在 machine.config 文件中進(jìn)行設(shè)置的，對(duì)于每個(gè) web 應(yīng)用程序，您可以修改該 web 應(yīng)用程序的根目錄中的 web.config 文件而不是 machine.config 文件。
在不需要 http-get 和 http-post 消息處理協(xié)議的生產(chǎn)用計(jì)算機(jī)上，最好在整個(gè)計(jì)算機(jī)中禁用對(duì)這些協(xié)議的支持。對(duì)于 xml web service 客戶端使用 http-get 或 http-post 與 xml web service 進(jìn)行通信的特殊情況，可以為使用這些協(xié)議的 web 應(yīng)用程序添加對(duì)這些協(xié)議的支持。

在整個(gè)計(jì)算機(jī)上禁用 http-get 和 http-post 協(xié)議（建議）

使用常用的文本編輯器打開(kāi) machine.config 文件。（默認(rèn)安裝將 machine.config 放在 c:/windows/microsoft.net/framework/v1.0.3705/config 文件夾中。）

在 webservices 節(jié)中標(biāo)出添加 http-get 和 http-post 支持的命令行。執(zhí)行此操作后，webservices 節(jié)應(yīng)如下所示：

<webservices>
    <protocols>
      <add name="httpsoap"/>
          <!-- <add name="httppost"/> --> 
         <!-- <add name="httpget"/>  -->
      <add name="documentation"/>
     </protocols>
</webservices>

保存 machine.config。
此配置更改將在下一次對(duì)該計(jì)算機(jī)上的 xml web service 發(fā)出請(qǐng)求時(shí)生效。

在單個(gè) web 應(yīng)用程序上禁用 http-get 和 http-post 協(xié)議

使用常用的編輯器打開(kāi) web 應(yīng)用程序根目錄中的 web.config 文件。（如果不存在 web.config 文件，則創(chuàng)建該文件。）
修改 web.config 的 webservices 節(jié)，使用以下格式顯式刪除 http-post 和 http-get 協(xié)議（如果 web.config 文件不包含 webservices 節(jié)，則添加該節(jié)）：
```
<webservices>
     <protocols>
       <remove name="httppost" />
       <remove name="httpget" />
     </protocols>
</webservices>
```
保存 web.config。
此配置更改將在下一次對(duì)該 web 應(yīng)用程序上的 xml web service 發(fā)出請(qǐng)求時(shí)生效。

在單個(gè) web 應(yīng)用程序上添加 http-get 和 http-post 協(xié)議支持

使用常用的編輯器打開(kāi) web 應(yīng)用程序根目錄中的 web.config 文件。（如果不存在 web.config 文件，則創(chuàng)建該文件。）
修改 web.config 的 webservices 節(jié)，使用以下格式添加 http-post 和 http-get 協(xié)議（如果 web.config 文件不包含 webservices 節(jié)，則添加該節(jié)）：
```
<webservices>
     <protocols>
       <add name="httppost" />
       <add name="httpget" />
     </protocols>
</webservices>
```
保存 web.config。

此配置更改將在下一次對(duì)該 web 應(yīng)用程序上的 xml web service 發(fā)出請(qǐng)求時(shí)生效。

禁用 http-get 和/或 http-post 的影響

對(duì)于生產(chǎn)用計(jì)算機(jī)，禁用 http-get 和 http-post 協(xié)議所帶來(lái)的弊端微乎其微。弊端包括：

xml web service 的默認(rèn)服務(wù)幫助頁(yè)面繼續(xù)有效，但潛在的客戶端將無(wú)法使用服務(wù)幫助頁(yè)面上的 invoke（調(diào)用）按鈕測(cè)試 xml web service。
如果要在 microsoft visual studio® .net 中調(diào)試 xml web service，您必須創(chuàng)建一個(gè)測(cè)試客戶端程序。

對(duì)于投入使用的 xml web service，這兩個(gè)弊端都可以輕松克服，因?yàn)?visual studio .net 提供了 add web reference（添加 web 引用）命令，使創(chuàng)建 xml web service 的客戶端變得非常簡(jiǎn)單。

總結(jié)

提供用 asp.net 創(chuàng)建的 xml web services 的生產(chǎn)用計(jì)算機(jī)應(yīng)該在整個(gè)計(jì)算機(jī)中禁用對(duì) http-get 和 http-post 消息處理協(xié)議的支持，以避免在很多情況下可能出現(xiàn)的安全問(wèn)題。對(duì)于早期開(kāi)發(fā)而言，您可以在開(kāi)發(fā)用計(jì)算機(jī)上啟用這些協(xié)議；這樣，開(kāi)發(fā)用計(jì)算機(jī)便可以使用服務(wù)幫助頁(yè)面來(lái)測(cè)試 xml web services。將計(jì)算機(jī)投入實(shí)際使用時(shí)，請(qǐng)修改 .config 文件以禁用 http-get 和 http-post 協(xié)議。
需要說(shuō)明的是，這并不是 xml web service 開(kāi)發(fā)人員應(yīng)當(dāng)采取的唯一安全措施，它只是保護(hù) xml web service 的安全所涉及的諸多步驟和問(wèn)題之一。

本文來(lái)源于網(wǎng)頁(yè)設(shè)計(jì)愛(ài)好者web開(kāi)發(fā)社區(qū)http://www.html.org.cn收集整理，歡迎訪問(wèn)。

上一篇：保護(hù) XML Web 服務(wù)免受黑客攻擊(2)

下一篇：可靠的 XML Web Service （1）