Chúng tôi có một tệp SOAP WSDL có thể xem được đối với người dùng công khai. Gần đây, một số trong tổ chức của chúng tôi đã đặt câu hỏi liệu điều này có làm tăng mối lo ngại về an ninh hay không.Tệp công khai WSDL tệp có vấn đề về bảo mật?
Có ai có thể xem một tệp có thể xem công khai là một mối quan tâm về an ninh không? Tất cả các chức năng có sẵn yêu cầu người dùng đã đăng nhập.
Câu trả lời ngắn gọn là: nếu xuất bản WSDL của bạn đại diện cho một vấn đề bảo mật, thì bạn có vấn đề bảo mật ngay cả khi bạn không xuất bản WSDL của mình và bạn cần khắc phục sự cố đó.
WSDL chỉ giải thích giao thức của bạn. Bạn không thể cho rằng giao thức của bạn là một bí mật; những kẻ tấn công vẫn có thể đảo ngược kỹ sư mà không có WSDL của bạn. Bạn không bao giờ có thể giả định rằng máy khách ở phía bên kia của kết nối mạng là máy khách "của bạn". Bạn phải giả định rằng nó là một kẻ tấn công và thiết kế hệ thống của bạn để đối phó với thực tế đó.
Vì vậy, ẩn WSDL của bạn là một hình thức nhỏ của sự quấy nhiễu không cung cấp bảo mật nghiêm trọng. Nhưng ... nếu ẩn WSDL của bạn là rất dễ dàng và không yêu cầu thêm công việc trên một phần của bạn, chắc chắn, tại sao không? Ẩn nó có thể có khả năng ngăn chặn một số loại kịch bản tự động cố gắng tấn công bạn. Và nó tạo ra một nhức đầu cực nhỏ cho những kẻ tấn công.
Một mối nguy hiểm lớn của việc ẩn WSDL của bạn là nó có thể gây ra sự cẩu thả trên một phần của các nhà phát triển nghĩ rằng WSDL do đó là bí mật. Nếu bạn có một đội ngũ mà có thể là một vấn đề, tôi sẽ giữ cho nó công khai chỉ để giữ cho họ tập trung.
Mối nguy hiểm lớn khác là nếu nó làm cho hệ thống của bạn khó duy trì hơn (ví dụ như khó nâng cấp). Nếu là vậy, tôi hoàn toàn không giấu nó. Sự phức tạp hơn trong các khách hàng gần như chắc chắn là một nguy cơ bảo mật lớn hơn một WSDL công cộng.
Cảm ơn, câu trả lời tuyệt vời! –