代码之家  ›  专栏  ›  技术社区  ›  David Pfeffer

作为WCF服务安全的一部分验证远程程序完整性/有效性

security wcf c#
  •  1
  • David Pfeffer  · 技术社区  · 14 年前

    使用机器证书等,我可以验证客户机是否是他们所说的客户机,这可以防止有人以某种方式从信息亭复制我的二进制文件,然后在自己的机器上运行它。但是,我如何防止以下两种攻击:

    • 有人拿走二进制文件,恶意修改,然后在系统上运行
    • 有人反编译我的应用程序,并使用我的部分代码(如我引用证书或共享机密的地方)编写自己的应用程序,并在计算机上运行它。

    显然,我已经采取措施使用操作系统来防止此类攻击,但我需要在服务器上找到一种方法来确保它不会被欺骗。

    有什么建议吗?

    1 回复  |  直到 12 年前
        1
  •  2
  •   SimonJ    14 年前

    如果机器在物理上不安全,那么就无法保证这些攻击不会发生。把你的精力集中在减少受损机器可能造成的损害上。示例:

    • ,因此您可以轻松地撤消受损计算机的凭据,而不影响其他地方的操作
    • 最小化不必要的功能 由服务器提供(例如,客户端不需要检索信用卡号码-而是返回某种可用于发起支付的代理令牌)
    • 最小化敏感数据 存储在客户端,不再需要时删除
    • 服务器应该 需要身份验证 在执行敏感操作之前
    • 日志敏感操作服务器端 所以你有一个审计跟踪和恶意活动的预警

    推荐文章
    Farid  ·  限制django每个客户的访问
    1 年前
    josegp  ·  在Nmap中-p-tag是什么意思
    2 年前
    Anony Mous  ·  Python内置的哈希方法可靠且安全吗?[已关闭]
    2 年前
    Danny Gersh  ·  让网站成员上传js供其他成员使用有什么危险?
    2 年前
    Anonymous Creator  ·  在javascript中重新使用已通过身份验证的mvc客户端
    6 年前
    sauumum  ·  相互身份验证:ServerHelloDone之后“收到致命警报:握手失败”
    6 年前
    kramer65  ·  如何根据网站用户在S3上添加非公共网站文件?
    6 年前
    derf26  ·  如何阻止React Web包包含包中的脚本。json
    6 年前
    user8663960  ·  最好也是最简单的方法是保护登录表单的安全
    6 年前
    Nyein Chan Wynn  ·  Android:如何在生成指纹保护的密钥后立即使用它进行加密?
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号