WCF响应中可能存在哪些威胁？

Question

在接收WCF响应时可能发生的不同类型的威胁是什么？预防这类威胁的缓解计划可能是什么？

注意:此查询基于WCF威胁建模概念。

Answer 1

任何API最大的威胁都是它的攻击面。您暴露的功能可能容易受到常见漏洞的攻击，例如SQL注入和目录遍历。

当涉及到WCF响应时，它取决于数据的使用方式。例如，如果您正在从WCF接口获取数据，然后构建一个查询，那么您仍然很容易受到SQL注入的攻击！如果您正在获取数据，然后将其显示在HTML页面上，那么您很容易受到XSS的攻击。

可能的漏洞完全取决于数据的使用方式。您不应该信任任何数据源，甚至不应该信任您自己的数据库。确保在使用数据时对数据进行清理。使用参数化的quires来停止SQLi。