Являются ли веб-службы SOAP уязвимыми для атак CSRF?

У нас есть веб-приложение в Spring MVC, а также веб-сервисы реализованы с использованием Spring Web Service. Они основаны на SOAP. У меня есть пара запросов в CSRF.

  1. Есть ли уязвимость CSRF для веб-сервисов на основе SOAP? Я не думаю, что это должно быть, поскольку SOAP - это XML. Но все же не уверен, что я что-то упускаю.
  2. Если существует уязвимость CSRF для веб-службы на основе SOAP, то как можно проверить входящий запрос? Что касается CSRF, токен один раз генерируется сервером, а затем клиент (обычно браузер) снова отправляет этот токен на сервер. Как это возможно с вызовами веб-службы.

Любые входные данные по этому вопросу будут в помощь. Заранее спасибо.


csrf soap web-services spring-ws csrf-protection
person user1630693    schedule 27.12.2014    source источник
comment
Как ваша веб-служба выполняет аутентификацию по полученным запросам?   -  person Andreas Veithen    schedule 28.12.2014
comment
Мы получаем идентификатор пользователя и пароль в заголовке мыла, который мы проверяем.   -  person user1630693    schedule 29.12.2014
comment
Тогда ваш ответ - нет. Если злоумышленник попытается отправить межсайтовый запрос в ваш домен, он не будет знать значения идентификатора пользователя и пароля, чтобы подделать запрос.   -  person SilverlightFox    schedule 29.12.2014
comment
Спасибо всем за ответы. Да, если мы используем идентификатор пользователя и пароль для проверки запроса, то атака CSRF невозможна. Спасибо за разъяснения.   -  person user1630693    schedule 06.01.2015
comment
@user1630693 user1630693 Подумайте о включении этой детали в вопрос. В противном случае он шире (и поэтому остается без ответа).   -  person David Balažic    schedule 15.05.2015

Ответы (2)


arrow_upward
0
arrow_downward

Если служба SOAP аутентифицирует запросы, используя идентификатор пользователя и пароль, отправленные в заголовке SOAP, она не будет уязвима для атак CSRF. Однако обратите внимание, что если эта служба используется веб-приложением, то само веб-приложение все еще может быть уязвимо для атак CSRF.

person Andreas Veithen    schedule 01.01.2015

arrow_upward
0
arrow_downward

Только в том случае, если вы выполняете аутентификацию с помощью чего-то, что будет автоматически отправлено клиентом/агентом пользователя/браузером, например токеном Cookie или NTLM/Kerberos.

В этом случае злоумышленник может разместить веб-сайт, который отправляет мыло в ваше приложение и запретит пользователю посещать его. Дружественный браузер просто вставит файл cookie с запросом (или автоматически аутентифицируется в окнах, если это установлено в браузере/сайте).

person stuartm9999    schedule 03.08.2018