改変Tampering

改ざんはメッセージまたはメッセージの配信を変更し、意図されたもの以外の目的のため、変更したメッセージを使用して動作します。Tampering is the act of altering a message, or the delivery of a message, and using the altered message for a purpose other than what it was intended for.

WS-Addressing を無効にしないDo Not Disable WS-Addressing

WS-Addressing の仕様では、各メッセージにアドレス ヘッダーが提供されるため、メッセージの受信者はメッセージの送信者を検証できます。The WS-Addressing specification provides address headers on each message, allowing a message recipient to verify the sender of the message. この機能を無効にするには、Addressing プロパティを None に設定します。You can disable this feature by setting the Addressing property to None.

セキュリティ モードが Message に設定された状態で、WS-Addressing が無効になっていると、攻撃者がクライアントから要求を取得して、これを別のサービスに送信した場合、要求を受信したサービスは、このメッセージが元のクライアントから送信されたことを検出できません。When the security mode is set to Message, and if WS-Addressing is disabled, an attacker could take a request from a client and send it to another service, and the second service has no way of detecting that the message came from the original client. 事実上、最初のサービスは、2 番目のサービスと対話するときに、自分をクライアントと偽ることができます。In effect, the first service can pretend that it is a client when talking to the second service.

これを防ぐには、Addressing プロパティを絶対に None に設定しないようにし、静的 MessageVersion プロパティのように、Soap12 プロパティを Addressing に設定する None の使用を避けます。To mitigate this, never set the Addressing property to None, and avoid the use of MessageVersion, such as the static Soap12 property, which sets the Addressing property to None.

関連項目See also