אז כמו שאתם יודעים (בתקווה...) Web Service מכיל בתוכו פונקציות מרוחקות שממקומות בשרת שנותן שירותים לתוכניות שמבצעות קריאות לאותן פונקציות (API) ובעצם מחלקים את תחומי האחריות של התוכנית ובונים מרכז לוגי משותף לכל התוכניות שצריכות שירות מה Service ללא תלות בארכיטקטורה.
נבנה פרויקט חדש ב Visual Studio.
מבנה הפרוייקט
נערוך את קובץ Service1.asmx ונוסיף לתוכו 3 פונקציות:
public class Service1 : System.Web.Services.WebService
{
[WebMethod]
public string restricted_functionA()
{
return "restricted_functionA";
}
[WebMethod]
public string restricted_functionB()
{
return "restricted_functionA";
}
[WebMethod]
public string restricted_functionC()
{
return "restricted_functionA";
}
}
נריץ את ה Web Service בדפדפן ונגיע לדף Webservice1.asmx שחושף לנו את הפונקציות של ה Web Service , כאן בעצם יש בעייה , אנחנו ממש לא מעוניינים לחשוף את הפונקציות של ה Service שלנו לכל אחד ובמיוחד לא לחשוף אותו בחיפושים ב Google כבר היום ניתן למצוא מליונים Web Services חשופים.
רק כדי להמחיש את הסכנה אני אשתמש ב Google ככלי פריצה וסריקה ( Google Hack) בעזרת החיפוש המתקדם במנוע ניתן לחפש חשיפות לדוגמה, אם נרשום בחיפוש filetype:asmx נקבל את כל הדפים ש Google מצא בסיומת asmx.
מכאן אנחנו מדרדרים וה Web Service שלנו חשוף מתמיד לכל אחד בכל מקום, הגיע הזמן לצאת מהבריכה של הילדים ושאריות ד.נ.א לא רצוי ולעבור לבריכה של הגדולים, קיימות מספר דרכים להגן על ה Web Service משלב ההעלמה מגוגל ותהליך Authentication מול ה Service שלנו.
חשוב לציין שאם ה Web Service שלנו משרת תוכניות שנגישות אליו מכתובות קבועות ניתן למנוע את כל הבלגן בעזרת חוק ב Firewall שיאפשר גישה ל Service רק מכתובות מוכרות, במקרה שה Service ניתן למשתמשים שלא ניתן לדעת את הכתובות שמהן הם יגיעו ל Service נצטרך לנקוט בשיטה אחרת.
קודם כל העלמת השירות מגוגל, נכתוב קובץ robots.txt ונשמור אותו בתיקייה של הפרויקט, נרשום את השורות הבאות:
User-agent: *
Disallow: /
ונמנע מ Google לסרוק את ה Service שלנו, עד כאן היה החלק הפשוט בכל הסיפור ועכשיו נתחיל את תהליך Authentication.
Forms Authentication
הדרך הפשוטה ביותר לאבטח את ה Web Service שלנו, על מנת לגשת ל Web Service יש להפעיל את פונקצית Login בשביל להתחבר ל Service, מה שקורה בפועל שהשם משתמש והסיסמא נבדקים מול ה DB ובמקרה שהם נכונים ה Web Service רושם Cookie עם Ticket אצל ה Client.
Webservice
using System;
using System.Collections.Generic;
using System.Web;
using System.Web.Services;
using System.Web.Security;
namespace WebService1
{
[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
[System.ComponentModel.ToolboxItem(false)]
public class Service1 : System.Web.Services.WebService
{
private string Authenticate(string user, string pass)
{
//check the credential from DB or hard coded.
if (user == "proxytype" && pass == "password")
return "Proxytype connect";
else
return null;
}
[WebMethod]
public bool login(string user, string pass)
{
string isLog = Authenticate(user, pass);
if (isLog != null)
{
//return authentication cookie
FormsAuthentication.SetAuthCookie(user, false);
return true;
}
else
return false;
}
[WebMethod]
public void logout()
{
FormsAuthentication.SignOut();
}
[WebMethod]
public string restricted_functionA()
{
//check if user authentication before execute
if (Context.User.Identity.IsAuthenticated)
return "Access Granted Restricted FunctionA";
return "Access Denied Restricted FunctionA";
}
[WebMethod]
public string restricted_functionB()
{
//check if user authentication before execute
if (Context.User.Identity.IsAuthenticated)
return "Access Granted Restricted FunctionB";
return "Access Denied Restricted FunctionB";
}
[WebMethod]
public string restricted_functionC()
{
//check if user authentication before execute
if (Context.User.Identity.IsAuthenticated)
return "Access Granted Restricted FunctionC";
return "Access Denied Restricted FunctionC";
}
}
}
Client
using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using example1.localhost;
namespace example1
{
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
//create new instance for the webservice
Service1 myservice = new Service1();
//create a cookie container for the return
//cookie from the web service
myservice.CookieContainer = new System.Net.CookieContainer();
myservice.login("proxytype", "password");
Response.Write(myservice.restricted_functionA());
}
}
}
למרות שהמשתמש לא יכול להשתמש בפונקציות הן עדיין חשופות והמשתמש עדיין יכול לראות אותם אם הוא יכניס את הכתובת של ה Web Service בדפדפן שלו וזה עדיין לא מספיק מאובטח, המטרה שכל גישה לא מורשה תקבל הודעת שגיאה 401.1 Unauthorized, תחילה יש לשנות הגדרה ב IIS עצמו, בתגית Authentication במצב Feature View יש לבטל את ה Anonymous Authentication , ולהפעיל את ה Basic Authentication:
כשהמשתמש ינסה להכניס את הכתובת של ה Service בדפדפן הוא יצטרך להכניס שם משתמש וסיסמא , במקרה שהם לא נכונים הוא יקבל שגיאה 401.1 Unauthorized.
בשביל להעביר את ה Credentials יש לבצע מספר שינויים ב Client:
using System;
using System.Collections.Generic;
using System.Web;
using System.Web.UI;
using System.Web.UI.WebControls;
using example1.localhost;
using System.Net;
namespace example1
{
public partial class _Default : System.Web.UI.Page
{
protected void Page_Load(object sender, EventArgs e)
{
//create new instance for the webservice
Service1 myservice = new Service1();
//create net credentials
CredentialCache myCredentials = new System.Net.CredentialCache();
NetworkCredential netCred = new NetworkCredential("proxytype", "password");
//sign the credentials as basic authentication
myCredentials.Add(new Uri(myservice.Url), "Basic", netCred);
myservice.Credentials = myCredentials;
//create a cookie container for the return
//cookie from the web service
myservice.CookieContainer = new System.Net.CookieContainer();
myservice.login("proxytype", "password");
Response.Write(myservice.restricted_functionA());
}
}
}
חשוב מאוד!
Basic Authentication מתבסס על שמות והסיסמאות של המשתמשים שרשומים במערכת ההפעלה של ה Service, מומלץ ליצור משתמש חדש עם הרשאות מוגבלות , במקרה שאין SSL השם משתמש והסיסמא עוברים כ Clear Text והם חשופים לכל מי שמאזין על הרשת.
סיכום:
משחקי הרשאות עלולות להפוך את העסק למאוד מסורבל וחשוב מאוד לפשט כמה שאפשר את פריסת האבטחה סביב התוכנית שלנו, ניתן להשתמש בצורות Authentication נוספות כמו Windows ו Digest , כמובן לא לשכוח להשתמש ב SSL.
לא לחשוף סתם...
אין תגובות:
הוסף רשומת תגובה