我们有使用WCF服务的silverlight应用程序。在渗透测试期间,我们发现几个问题其中一个建议是在Silverlight端加扰/加密WCF服务地址。
这是标准做法还是有任何价值?如果服务受到保护,用户是否能够通过了解WCF服务位置来获取任何信息。因为用户总是可以反编译silverlight xap并了解我们如何加密WCF地址。
答案 0 :(得分:1)
隐藏您提供的数据中的秘密(例如,在客户端代码中)是一个众所周知的难题。基本上,这就是DRM系统尝试做的事情,而且它们都不是黑客证明的。如果你给某人一个秘密和检索那个秘密的代码,有人会把这个秘密弄清楚。正如JeffN825指出的那样,你总是可以使用线监控工具来计算地址(使用HTTPS地址会有点困难,但仍然可以)。因此,我不会花费太多精力来隐藏地址,只是安全隐藏,只能延迟潜在的攻击者。如果该服务需要用户身份验证,我将专注于使该部分安全。如果您正在尝试对应用程序进行身份验证,而不是用户,那么这是一个更加困难的问题,需要进行全面的单独讨论,但这并不是通过地址隐藏来解决的。