两天前我听说过肥皂,从那时起我就成功地与服务器沟通了。但我不熟悉SOAP协议
我的应用会将敏感数据传输到服务器,说我一直想知道主应用的创建者使用的方法是否足够安全:
<?xml version="1.0" encoding="utf-8"?>
<soap12:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap12="http://www.w3.org/2003/05/soap-envelope">
<soap12:Body>
<GetArtigoRef xmlns="http://www.*********.com:**/">
<username>string</username>
<password>string</password>
<referencia>string</referencia>
</GetArtigoRef>
</soap12:Body>
</soap12:Envelope>
正如您可能注意到的那样,用户名和密码在前两个字段中以纯文本形式定位,而且非常清楚。
通过php和soapcall发送数据时,我没有使用任何类型的加密。
我能从中得到什么?有任何担忧或者我可以放松吗?
非常感谢您的启发! 为所有人喝彩。
答案 0 :(得分:0)
如果你通过httpS调用SOAP,那就足够了。
答案 1 :(得分:0)
如果我可以这样说,我认为这是肥皂服务器的标准。我会更关心http,而不是http * s *。这将是我改变的一件事。
其次,这与您要连接的服务器有很大关系。想象一下,你给服务器发送了一个预先输入的密码,然后就可以了:)可以做一些有趣的测试。
据我所知,这就是它的工作原理,即使使用LDAP和其他soap部署也是如此。密码始终以plaintext = \
发送也许有人可以建议更安全的方式与服务器通信。
答案 2 :(得分:0)
处理这些消息的服务器必须使用SSL。他们必须有一个真正的证书,而不是一个自签名证书。此外,他们的Web服务器必须配置为禁止过时的协议(请参阅OWASP-CM-001)。否则你很容易受到各种各样的肮脏。
这是行业标准,不应该是一个大问题。 SSL对于凭证的安全处理是绝对必需的。