امنیت invoke وب سرویس
سلام دوستان خسته نباشید ، دوستان من در وب سرویسی که ایجاد کردم یک متد تعریف کردم که یک پارامتر به عنوان ورودی میگیره دوستان این متد عمل جستجوی نام کاربری رو در دیتابیس انجام میده و کادری که به عنوان ورودی برای درج مقادیر به کاربر نشون داده میشه راهی برای تزریق اس کیو اله . Invoke كزدن مقادير برروي لوكال قابل نمایشه ولی برروی سرور متدها نشون داده نمیشه ولی دوستان با برنامه appscan مي توان invoke مقادير رو نشون داد . دوستان چطوری باید دسترسی به این موارد رو محدود کرد.یا حداقل مقدار ورودی داده ها رو محدود کرد یعنی فقط مقدار عددی دریافت بشه.ممنون میشم راهنمایی کنید
3 پاسخ
برنامه هایی مانند soap ui هم می تونن نوع و مقادیر ورودی وب سرویس رو به کاربران نشون بدن ولی نشون دادن تنهایی نوع ورودی نمی تونه باعث از بین رفتن امنیت بشه شما باید تدابیر امنیتی رو داخل پیاده سازی وب سرویس هاتون انجام بدید.
ممنون از پاسختون یعنی با برنامه soap ui امکان دسترسی به دیتابیسی که وب سرویس باهاش در ارتباطه هست؟ممنون میشم راهنمایی کنیدو مواردی که به امنیت وب سرویس مربوط میشه رو شرح دهید
نه دوست عزیز.
نرم افزار هایی مانند soap ui فقط برای تست و فراخوانی وب سرویس ها می باشند. این نرم افزار ها می توانند این گونه عمل کنند که لیست وب سرویس ها را به شما بدهند و به شما این امکان را بدهند که بتوانید هر وب سرویس را فراخوانی کنید. و نتیجه فراخوانی وب سرویس را به شما اعلام می کنند. به این صورت که لیست پارامتر های یک وب سرویس به شما داده می شود و امکان مقدار دهی پارامتر ها برای شما وجود دارد و بعد از فراخوانی وب سرویس نتیجه به شما بازگردانده خواهد شد.