• CWE-651: Exposure of WSDL File Containing Sensitive Information

Die Web Services Architektur kann die Bereitstellung einer Web Service Definition Language (WSDL) Datei erfordern, welche Informationen über die öffentlich zugänglichen Services und die Interaktion der Aufrufer mit diesen Services enthält (z.B. welche Parameter erwartet werden und welche Datentypen zurückgegeben werden).

CWE-651: Exposure of WSDL File Containing Sensitive Information

CWE ID: 651
Name: Exposure of WSDL File Containing Sensitive Information

Beschreibung

Die Web Services Architektur kann die Bereitstellung einer Web Service Definition Language (WSDL) Datei erfordern, welche Informationen über die öffentlich zugänglichen Services und die Interaktion der Aufrufer mit diesen Services enthält (z.B. welche Parameter erwartet werden und welche Datentypen zurückgegeben werden).

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Beschränken Sie den Zugriff auf die WSDL-Datei so weit wie möglich. Wenn Services nur für eine begrenzte Anzahl von Entitäten bereitgestellt werden, kann es sinnvoller sein, die WSDL privat an jede dieser Entitäten zu verteilen, anstatt sie öffentlich zu publizieren.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass die WSDL keine Methoden beschreibt, die nicht öffentlich zugänglich sein sollten. Schützen Sie Service-Methoden, die nicht öffentlich zugänglich sein sollten, mit Access Controls.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Vermeiden Sie in der WSDL die Verwendung von Methodennamen, die einem Angreifer möglicherweise Hinweise auf die Namen privater Methoden/Ressourcen geben könnten, die vom Service verwendet werden.