VerfälschungenTampering

Manipulationen dient der Änderung einer Nachricht oder der Lieferung einer Nachricht und die Nutzung der geänderten Nachrichten für einen Zweck als Ihren Zweck wurde.Tampering is the act of altering a message, or the delivery of a message, and using the altered message for a purpose other than what it was intended for.

Deaktivieren Sie die WS-Adressierung nichtDo Not Disable WS-Addressing

Die WS-Adressierungsspezifikation bietet Adressheader für jede Nachricht, wodurch ein Nachrichtempfänger den Absender einer Nachricht bestätigen kann.The WS-Addressing specification provides address headers on each message, allowing a message recipient to verify the sender of the message. Sie können diese Funktion deaktivieren, indem Sie die Addressing-Eigenschaft auf None festlegen.You can disable this feature by setting the Addressing property to None.

Wenn der Sicherheitsmodus auf "Nachricht" festgelegt ist und die WS-Adressierung deaktiviert, kann ein Angreifer eine Anforderung von einem Client nehmen und diese an einen anderen Dienst senden. Der zweite Dienst kann nicht erkennen, dass die Nachricht vom Original-Client kam.When the security mode is set to Message, and if WS-Addressing is disabled, an attacker could take a request from a client and send it to another service, and the second service has no way of detecting that the message came from the original client. Der erste Dienst kann bei der Kommunikation mit dem zweiten Dienst vorgeben, ein Client zu sein.In effect, the first service can pretend that it is a client when talking to the second service.

Um dieses Problem zu lösen, sollten Sie nie die Addressing-Eigenschaft auf None festlegen und die Nutzung von MessageVersion vermeiden, z. B. die statistische Soap12-Eigenschaft, die die Addressing-Eigenschaft auf None setzt.To mitigate this, never set the Addressing property to None, and avoid the use of MessageVersion, such as the static Soap12 property, which sets the Addressing property to None.

Siehe auchSee Also

SicherheitsüberlegungenSecurity Considerations
Offenlegung vertraulicher InformationenInformation Disclosure
Erhöhen der BerechtigungenElevation of Privilege
Denial-of-Service-AngriffeDenial of Service
Nicht unterstützte SzenarienUnsupported Scenarios
ReplayangriffeReplay Attacks