WCF安全1-开篇

概述:

WCF安全简介

1.在企业级应用中什么是“安全”

答:

(1)应用能够识别用户的身份-认证Authentication

(2)应用能够将用户的操作和可访问的资源限制在其允许的权限范围之内-授权Authorization

(3)应用能记录用户的操作记录-审核Auditing

(4)应用能确保消息在发送端和接收端的一致性-签名

(5)应用能确保消息仅对发送者期望的接收者可见-机密性

2.消息传输过程有哪些不安全因素

答:

首先可以将WCF堪称一个消息处理框架,整个框架分成两个部分-客户端和服务端

下图为客户端和服务端在网络传输中模型图

(1)拦截工具将捕获到的信息恶意篡改后转发给消息接收者-可以通过签名解决这个问题

(2)网络拦截工具捕获明文的敏感信息-可以通过加密解决这个问题

(3)钓鱼攻击-针对服务A的请求被恶意重新定位到另一个服务B,以执行一些损害访问者利益的操作,或者窃取访问者相关的一些敏感信息-可以通过服务端认证解决这个问题

(4)重放攻击-黑客利用网络拦截工具捕获针对某个服务的访问请求,让后对该请求进行复制,并以一个非常高的频率对目标服务发起调用。这样将会耗尽服务端的可用资源并导致崩溃

3.解决消息传输安全隐患

既然在网络通信层面不能提供足够的安全保障,而在应用层面去实现安全保障代码量很大,所以只能将整个安全保障体系构建与两者之间

WCF实现了一个功能齐全、可扩展的安全架构体系,能够满足绝大部分分布式应用场景的安全需求。

分布式应用程序是指:应用程序分布在不同计算机上,通过网络来共同完成一项任务。通常为服务器/客户端模式。

下图为WCF安全架构体系在分布式应用中的模型图。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

看我如何在Jive-n中发现了一个XXE漏洞 (CVE-2018-5758)

写在前面的话 很多渗透测试人员会对各种各样不同的服务以及应用程序进行安全测试,但他们往往会忽略自己的产品和服务。在这种情况下,他们就可能成为攻击者的首要目标,...

3834
来自专栏向治洪

android个推平台

最近有个朋友想要推送一些消息到自己的APP上,自己用了HTTP轮询的方式比较耗电,也比较占用流量,一旦用户关闭了进程,消息则很难触达,于是,咨询我有没有什么好的...

2126
来自专栏七夜安全博客

新版知乎登录之post请求

3022
来自专栏北京马哥教育

Linux 基础快速入门教程:全栈必备基础知识

Linux 几乎无处不在,不论是服务器构建,还是客户端开发,操作系统的基础技能对全栈来说都是必备的。

1280
来自专栏杨建荣的学习笔记

Windows环境下搭建Oracle 12c的体验

昨天准备一个Oracle环境,结果看起来是很简单的事情,却因为各种各样的原因耽搁了一些时间,从下载到安装部署,已经几个小时过去了,抬头看看,已经是凌晨快2点了。...

1210
来自专栏BeJavaGod

Shiro系列(1) - 权限管理的介绍与原理

1. 什么是权限管理 一般来说,只要有用户参与,那么该系统都会需要权限管理,权限管理实现了对用户访问系统 指定功能的限制,按照管理员定义的安全...

3645
来自专栏机器学习实践二三事

Mac无法升级six, numpy等

OS 10.10以上,会出现你无法直接使用pip升级向six, numpy等,报错就是各种权限不够,加上sudo结果也一样,原因就是MacOS的系统完整性保护(...

2808
来自专栏杨建荣的学习笔记

通过shell脚本检测MySQL服务信息

第一部分是通过系统层面来解析MySQL的基本信息,方式是通过ps -ef|grep mysql得到的信息来解析。

1252
来自专栏杨建荣的学习笔记

密码管理的初步实现

之前写了一版密码管理,主要针对的是对于发送密码方面的安全考虑,今天说的这个是对于密码的统一管理。

1303
来自专栏FreeBuf

新手教程:局域网DNS劫持实战

01 原理 DNS决定的是我们的域名将解析到哪一个IP地址的记录,是基于UDP协议的一种应用层协议 这个攻击的前提是攻击者掌控了你的网关(可以是路由器,交换机...

1.6K8

扫码关注云+社区

领取腾讯云代金券