9
Im包裝我的iPhone應用程序。我只是擔心我們的Web服務器級別的安全性。數據通過網絡服務被拉到iPhone應用程序。使Webservice安全
我可以把什麼安全措施放在Web服務上,這樣我就不會受到攻擊?
感謝
A
回答
4
幾個要點:
- 使用RSA signed XML
- 確保一切都在傳遞SSL
- 加密所有數據流量驗證從Web Service的所有請求。我建議查看DUKPT密鑰管理系統,使用AES加密。
- 使用WCF - 這是最新的標準(也是this)
- 使用某種Web服務身份驗證。這可以像每個需要用戶名和密碼的請求一樣簡單。這會減慢直接呼叫嘗試的速度,並且如果您獲得了正確的加密權限,則不必使用純XML格式的用戶名和密碼。
- 最重要的是確保服務器本身是安全的。如果有人破解了服務器,那麼你死在水中,而不會意識到你做了什麼。
編輯:
看一看this question爲iPhone到.NET互操作性AES。
+0
是否有標準加密?我的意思是在加密。在服務器的淨水平比在蘋果iphone水平上的xcode解密?希望這不是一個愚蠢的問題。 – Matt 2010-08-17 20:20:53
+0
@Tricky - 基本上你必須看看。 AES是一個標準,所以iPhone應該能夠支持它。 – 2010-08-17 20:27:57
+0
你可能會受到iPhone方面的限制。 – 2010-08-17 20:35:53
1
如果您不使用Web服務有效負載來實現身份驗證,則可以使用正常的HTTP身份驗證SSL保護您的服務。你也是服務器端程序員嗎?
0
如果您的WCF服務不安全,那麼您「插入」WCF服務並不重要。您必須假設攻擊者可以在沒有iPhone客戶端的情況下訪問您的Web服務。您的Web服務容易受到sql注入的影響嗎?您是否暴露了可能允許攻擊者讀取服務器上的文件或更改其他用戶帳戶的惡意功能?記住OWASP Injection flaws。使用HTTPS讓您的客戶免於泄漏信息。其餘的應該確保你公開的功能是安全的。
攻擊者將能夠找到您嘗試存儲在iPhone二進制文件或內存中的任何密鑰或密碼。攻擊者擁有比你更多的控制權,他可以入獄破壞設備,然後沒有地方隱藏。
相關問題
- 1. WCF WebService安全性:如何在WebService上使用安全性?
- 2. 安全Webservice?
- 3. Webservice安全
- 4. Java WebService安全
- 5. json webservice安全性
- 6. GoogleAppEngine Java WebService安全
- 7. ASP.NET webservice API安全
- 8. 訪問安全的「HTTPS」webservice - WP 7
- 9. 在webservice中實現安全性
- 10. WebService成員變量和線程安全
- 11. 如何確保Webservice的安全性?
- 12. 使用.Net 3.5和VS 2008使用安全的WSE2.0/.Net 1.1 WebService
- 13. 如何安全地使用FB.Event.Subscribe來調用webservice
- 14. .NET WebService安全性誰可以看到並使用
- 15. 在通過MQ進行安全調用之後無法調用安全的webservice
- 16. CakePHP:使用安全:: allowedControllers和安全:: allowedActions
- 17. 通過WebService安全圖像下載的最佳實踐
- 18. DMZ之間的WebService安全 - 受保護的網絡
- 19. Spring安全驗證webservice並從數據庫檢索角色
- 20. 確保webservice中的功能在delphi中是安全的
- 21. 安全地將.NET 1.1 webservice切換到WCF?
- 22. 這個WebService安全方案有哪些潛在的問題?
- 23. C# - 尋找像Spring Security一樣的WebService安全性
- 24. 爲基於令牌的webservice啓用CORS安全嗎?
- 25. Webservice安全性 - 什麼是最佳選擇?
- 26. Webservice:考慮設計和安全考慮事項?
- 27. Spring安全oauth2:在REST webservice中獲取用戶名
- 28. 通過Android向Webservice發送安全請求
- 29. 將安全頭添加到Xamarin.Forms中的SOAP Webservice中
- 30. ASP.NET Webservice中的安全性,只允許特定的人使用它
我已添加iPhone標籤,以便有iPhone用戶體驗的人可以共享iPhone上允許的某些安全功能信息。 – 2010-08-17 22:55:16
@拉迪斯拉夫 - 這超出了問題的範圍。這是針對Web服務的。應該詢問關於iPhone安全功能的單獨問題。 – 2010-08-19 05:08:44
@凱爾:我不同意。如果你想編寫iPhone客戶端使用的Web服務,你必須知道哪些安全特性很容易適用於客戶端平臺。我可以輕鬆開發您無法在iPhone上使用的安全服務。另外,我也看到很多針對iPhone上使用WS-Security服務的問題。 – 2010-08-19 07:27:47