接收WCF响应时可能会出现哪些不同类型的威胁?什么可能是防止这类威胁的缓解计划?
注意:此查询基于WCF威胁建模概念。
答案 0 :(得分:1)
任何API的最大威胁是它的攻击面。您正在公开可能容易受到SQL注入和目录遍历等常见漏洞攻击的功能。
当谈到WCF响应时,它取决于数据的使用方式。例如,如果您从WCF接口获取数据然后构建查询,您仍然可能容易受到SQL注入攻击!如果您正在获取该数据,然后将其显示在HTML页面上,那么您就容易受到XSS的攻击。
可能存在的漏洞完全取决于数据的使用方式。您不应该信任任何数据源,甚至不应该信任您自己的数据库。确保在使用时清理数据。使用参数化quires来停止SQLi。