保护 Web 服务免遭“XML 注入”

Question

目前，我们的客户来自许多不同的公司，他们访问我们的网络服务。许多新客户属于特许经营权的一部分，并且希望访问同一特许经营权内的公司数据。

之前，我们将存储在其身份验证凭证中的公司 ID 的哈希值与他们请求数据的公司 ID 的哈希值进行比较，从而确保每个公司无法向其他公司请求数据。但是，此方法将不再起作用，因为客户端可能需要访问另一个客户端的数据。

问题是，防止“XML 注入”（如果它被称为“XML 注入”）的“最佳方法”是什么？在“XML 注入”中，有人可以拦截发送的 Web 请求并修改 XML，意图查看竞争对手的数据。

到目前为止，我想到的唯一方法是维护服务器端客户端层次结构（例如，客户端 A/B/C 是特许经营权 A 的一部分），以便我们知道谁是哪个特许经营权的一部分，并在检索数据之前进行显式检查。

我注意到很多关于如何保护网络服务访问的问题，这不是我要问的。

Answer 1

你似乎有两个问题。

阻止 HTTP 请求被拦截以及第三方使用凭证

问题是，防止“XML 注入”（如果这就是所谓的）的“最佳方法”是什么，即有人可以拦截发送的 Web 请求并修改 XML 以意图查看竞争对手的数据。< /p>

这将是中间人攻击。

解决方案很简单，通过 HTTPS 而不是纯 HTTP 传输数据来使用加密。

阻止一个客户端未经许可访问另一客户端的数据

到目前为止，我想出的唯一方法是维护服务器端客户端层次结构（例如客户端 A/B/C 是特许经营权 A 的一部分），以便我们知道谁是哪个特许经营权的一部分，并在数据已检索。

这是一个不同的问题，这是解决它的正确方法。

存储每个用户可以访问的数据集的列表（或其他数据结构）。对于每个请求，将请求的数据与访问用户的凭据与访问控制列表进行比较。

Answer 2

不要试图在已有的“损坏的”凭证检查之上添加额外的复杂性。相反，修复凭据检查。

问题是什么？您用来检查访问的“凭据令牌”是公司 ID（它的哈希值，但没有任何区别）。

如何修复它？干脆不要使用公司 ID——使用更好的东西来代替。

例如：当有人针对您的 Web 服务进行身份验证时，不要根据他们的公司 ID 向他们提供身份验证令牌。给他们一个“访问域”的身份验证令牌（让我们在这里创建一个抽象实体）。让数据库中的每个公司以一对多关系映射到任意数量的“访问域”。

每当有人请求数据时，请查看哪些访问域包含该数据（例如，检查所请求数据的公司位于哪些域中）。如果凭证令牌授权访问这些域中的任何一个，请继续提供数据。

这只是当前凭证基础设施的基本扩展，它将满足您的需求，同时保持无会话状态（我想缺乏会话状态正是系统最初被设计成这样的原因）。

当然请注意：

• 此访问控制系统无法抵御可信用户攻击。除非有其他机制，否则如何阻止客户暴力破解他们发送给您的身份验证令牌，直到它与另一个公司 ID（或访问域）的哈希值相匹配，并且他们可以访问该数据？
• 正如 David 所说，它也无法抵御中间人攻击，甚至无法抵御被动窃听。请遵循他的建议，使用 HTTPS 来公开您的服务。这是理所当然的。