使Web服务安全

Question

我正在收拾我的Iphone应用程序。我只是担心我们的Web服务器级别的安全性。数据正通过网络服务转移到iphone应用程序。

我可以对Web服务采取哪些安全措施，以便我不易受到攻击？

由于

Answer 1

一些指示：

• 使用RSA signed XML
验证来自Web服务的所有请求
• 确保所有内容都通过SSL
传输
• 加密所有数据流量。我建议使用DUKPT加密来查看AES密钥管理系统。
• 使用WCF - 这是最新的标准（也是this）
• 使用某种Web服务身份验证。这可以像每个需要用户名和密码有效的请求一样简单。这将减慢直接调用尝试的速度，如果您获得正确的加密，则不必使用纯XML格式的用户名和密码。
• 最重要的是确保服务器本身是安全的。如果有人破坏了服务器，你就会死在水里，不管你做了什么。

---

编辑：

请查看this question的iPhone与.NET AES互操作性。

Answer 2

如果您没有使用Web服务有效负载来实现身份验证，则可以使用正常的HTTP身份验证SSL来保护您的服务。你也是服务器端程序员吗？

Answer 3

如果您的WCF服务不安全，那么“放置”WCF服务并不重要。您必须假设攻击者可以在没有iPhone客户端的情况下访问您的Web服务。您的Web服务是否容易受到SQL注入攻击？您是否暴露了可能允许攻击者读取服务器上的文件或更改其他用户帐户的令人讨厌的功能？记住OWASP Injection flaws。使用HTTPS可以确保您的客户免于泄露信息。其余的应该是确保您公开的功能是安全的。

攻击者可以找到您尝试存储在iPhone二进制文件或内存中的任何密钥或密码。攻击者对iPhone的控制力比你做得更多，他可以监禁设备，然后没有地方可以隐藏。