Formulario de prueba de servicios web de ASMX de Microsoft disponible en máquinas remotas

Question

Formulario de prueba de servicios web de ASMX de Microsoft disponible en máquinas remotas

#1 de Steve (2 votos)
#2 de Paul Podlipensky (1 votos)

2

He estado investigando sobre la seguridad de los servicios web. Me di cuenta de que algunos sitios utilizan Ajax y JQuery para consumir los servicios web de ASMX. Navegué a Web Service EndPoint y me di cuenta de que, desde mi máquina, podía usar el formulario de Prueba para consumir el servicio, una parte de la que podía ver el mecanismo HTTP para enviar SOAP a través de HTTP. Poner esta información a disposición de los usuarios remotos podría conducir a invocaciones no deseadas y también podría conducir a ataques DoS.

¿Cree que mostrar este formulario de prueba a usuarios remotos podría conducir a un ataque de servicio?

attacks known-vulnerabilities web-service

pregunta Michael Hidalgo 13.01.2012 - 05:37

fuente

2 respuestas

Lea otras preguntas en las etiquetas attacks known-vulnerabilities web-service

¿Cómo prevenir esto 'Intrusion.Win.MSSQL.worm.Helkern'? ¿Qué tan seguros son los iPhone nativos? Servicios PUSH

score 2 · Answer 1

Al lanzar un servicio web ASMX / WCF / SOAP a producción, se recomienda deshabilitar el acceso a los metadatos y desactivar el formulario de entrada de prueba. Sí, debe deshabilitar el formulario de prueba para ASMX y, mejor aún, debe actualizar el ASMX a un punto final WCF.

¿Dejarlo en plomo provocará ataques DoS? No, probablemente no. ¿Alguien intentará ingresar datos si los encuentra? Sí. Sin embargo, el problema reside en los metadatos WSDL. Con el WSDL puede consumir el servicio web desde otra aplicación y llamar directamente al servicio sin tener que pasar por el formulario de prueba. Si desactiva los metadatos, no puede acceder al WSDL, por lo que solo los clientes en los que confía deben conocer las interfaces para el servicio.

score 1 · Answer 2

Aquí hay varios enfoques, primero y la forma más diligente es modificar la página donde se muestra la información: La página DefaultWsdlHelperGenerator.aspx se encuentra en %SYSTEMROOT%\microsoft.net\framework\v1.1.4322\Config

Una forma más avanzada es hacer esto en Web.config de su sitio web:

<webServices>
<protocols>
              <remove name="Documentation"/>
</protocols>
</webServices>

También puede implementar su HttpModule y personalizar la forma de consumo de su servicio web.