none
Asmx 보안관련 질문 입니다. 다른사람이 서비스 참조를 할때 이를 방지할 방법이 있을까요? RRS feed

  • 질문

  • 안녕하세요. 이제 막 asmx 해보기 시작했습니다.

    용도는 제품의 라이선스 관리서버 이고 서비스 참조를 통하여 편리하게 개발중입니다. 그러던 도중 아래와 같은 해킹 시나리오를 생각해봤습니다.

    1. 피들러를 통하여 제품 시작시 라이선스 서버에 접속하는 주소와 메서드들을 알아낸다.

    2. 비주얼스튜디오의 한 프로젝트를 생성하여 위에서 입수한 asmx 주소를 통하여 서비스 참조를 추가 한다.

    3. 추가된 참조를 통하여 어쩌고 저쩌고 해본다.

    를 생각해보니, 서비스 참조를 막을수 있는 방법이 있을까 하는 의문이 들었습니다. 방법이 있나요? 또한 피들러를 통하여 값이 넘어가는 것을 막을수 있을까요?그리고 Asmx 주소로 웹브라우져를 통하여 접근시 메서드 정보들의 아주 친절하게 설명 되는데 이를 막을 방법이 있을까요? 감사합니다.

    • 편집됨 야매코더 2013년 3월 2일 토요일 오전 1:42
    2013년 3월 1일 금요일 오전 8:42

답변

  • 서비스 개발 후 WSDL을 참조하지 못하도록 막는 방법이 있습니다.

    Disabling the ASP.Net ?WSDL command
    ; http://blog.jonathanroussel.com/2007/04/disabling-aspnet-wsdl-command.html

    하지만, 근본적인 해결책은 되지 않습니다. 반드시 적절한 인증 체계를 설계하시는 것이 좋을 것입니다.

    (피들러를 통해 값이 넘어가는 것을 막을 방법은 없습니다. https로 해도 요즘 피들러는 중간에 SSL 중계하는 방법을 통해서 내용을 다 보여줍니다. 사용자 정의 암호를 하는 수 밖에 없습니다.)

    2013년 3월 5일 화요일 오전 4:35