¿Una API XMLRPC expuesta en una aplicación web representa una amenaza?

Question

¿Una API XMLRPC expuesta en una aplicación web representa una amenaza?

#1 de Steve (2 votos)

0

Me asignaron la tarea de probar uno de nuestros servidores web en lo que respecta a seguridad. Uno de los servidores ejecuta IIS 7 y su aplicación se basa en gran medida en las llamadas XMLRPC. Encontré que la API para esas llamadas estaba disponible públicamente en el servidor web, lo que me hizo pensar.

¿Esto necesita ser expuesto? (Es decir, ¿se rompe la aplicación si se elimina?) ¿Representa esta exposición una amenaza a la seguridad? (¿O eliminar la API simplemente sería una 'seguridad por oscuridad'?)

xml web-service iis

pregunta efr4k 24.10.2011 - 15:46

fuente

1 respuesta

Lea otras preguntas en las etiquetas xml web-service iis

¿Hay algo así como un "contenedor de software de Windows Sandbox"? [cerrado] Iframe hack / done a través de FTP?

score 2 · Answer 1

Bueno, lo primero que me viene a la mente es que si elimina un punto final externo de una API en la que se basa una aplicación, entonces sí, probablemente se rompería. :)

Más específicamente, realmente depende de la aplicación en cuestión. Si solo funciona con XMLRPC y necesita conectarse desde una máquina diferente, entonces sí se interrumpirá si elimina el acceso. De lo contrario no podría. El hecho de que sea de acceso público aumenta el riesgo para sus servidores debido a una mayor superficie de ataque, pero si se trata de un servicio asegurado adecuadamente, existe menos riesgo. Sin embargo, todavía hay una mayor superficie de ataque.

Sin embargo, dado que es XMLRPC, que es un protocolo anticuado (un precursor de SOAP), es muy probable que no haya sido diseñado necesariamente pensando en la seguridad.

Eliminar la API no sería seguridad por oscuridad a menos que haya otra forma de acceder a la API cuya protección depende del hecho de que XMLRPC era el único punto final público conocido .