Un'API XMLRPC esposta in un'applicazione Web rappresenta una minaccia?

Naviga le tue risposte
0

Mi è stato assegnato l'incarico di testare uno dei nostri server Web in merito alla sicurezza. Uno dei server esegue IIS 7 e la sua applicazione si basa ampiamente sulle chiamate XMLRPC. Ho trovato che l'API per quelle chiamate era pubblicamente disponibile sul web-server che mi ha fatto riflettere.

Questo deve essere esposto? (L'applicazione si interrompe se viene rimossa?) Questa esposizione rappresenta una minaccia per la sicurezza? (O la rimozione dell'API potrebbe essere semplicemente una "sicurezza per oscurità"?)

    
posta efr4k 24.10.2011 - 15:46
fonte

1 risposta

2

Bene, la prima cosa che viene in mente è che se rimuovi un endpoint esterno di un'API su cui si basa un'applicazione, allora sì, probabilmente si romperà. :)

Più specificamente dipende molto dall'applicazione in questione. Se funziona solo su XMLRPC e ha bisogno di connettersi da una macchina diversa, allora si interromperà se si rimuove l'accesso. Altrimenti potrebbe non farlo. Il fatto che sia accessibile pubblicamente aumenta il rischio per i tuoi server a causa di una maggiore superficie di attacco, ma se si tratta di un servizio adeguatamente protetto, c'è meno rischio. C'è comunque una superficie d'attacco maggiore.

Tuttavia, dato che è XMLRPC, che è un protocollo antiquato (un precursore di SOAP), ci sono buone probabilità che non sia necessariamente progettato pensando alla sicurezza.

La rimozione dell'API non sarebbe protetta da oscurità a meno che non ci sia un altro modo per accedere all'API la cui protezione dipende dal fatto che XMLRPC era l'unico endpoint pubblico conosciuto .

    
risposta data 24.10.2011 - 16:52
fonte

Leggi altre domande sui tag

Esiste qualcosa come un "Wrapper software Windows Sandbox"? [chiuso] Come fa WikiLeaks (Julian Assange) a prendere i cavi dell'ambasciata americana? [chiuso]