Tampering (falsification)

La falsification consiste à modifier un message, ou la remise d’un message, et à utiliser ce message modifié à des fins autres que celles prévues.

Ne pas désactiver WS-Addressing

La spécification WS-Addressing fournit des en-têtes d'adresse sur chaque message, ce qui permet au destinataire d'un message de vérifier l'expéditeur de celui-ci. Vous pouvez désactiver cette fonctionnalité en affectant Addressing à la propriété None.

Si le mode de sécurité a la valeur Message et que WS-Addressing est désactivé, un intrus peut prendre la demande d'un client et l'envoyer à un autre service, le deuxième service n'ayant aucun moyen de détecter que le message est provenu du client d'origine. En effet, le premier service peut prétendre qu'il est un client lorsqu'il parle au deuxième service.

Pour atténuer ce risque, n'affectez jamais Addressing à la propriété None et évitez d'utiliser MessageVersion, tel que la propriété statique Soap12, qui affecte Addressing à la propriété None.

Voir aussi

• Security Considerations
• Divulgation d’informations
• Élévation de privilège
• Déni de service
• Scénarios non pris en charge
• Attaques par relecture