Blog Stats
  • Posts - 4
  • Articles - 0
  • Comments - 203
  • Trackbacks - 0

 

AH AHHH!! http post e get dei webservice BANDITI X SEMPRE!!

Premessa:
Vi ricordate quando ancora si creavano pagine asp "ponte" tra due server in cui bastava mettere una querystring studiata per ben benino per far creare ad un secondo server la mail, la cartella e tutto quanto non si riusciva a fare dal server dal quale si lavorava (una sorta di webservice primordiale)? Bene è già dai quei tempi che continuo a borbottare che sistemi del genere (anche se protetti con password di NT o quel cavolo che si voleva) erano insicuri.

Poi si è passati al soap...e già si intravedeva una buona soluzione: obbligare chi vuole accedere al servizio (ex pagine asp con queryString) ad aggiungere un semplice header nell'intestazione http che facesse riferimento al SOAP. :-) wow la paura che con un link studiato apposta  messo da qualche parte su internet, uno potesse fare quello che voleva sui sistemi già svaniva...

Ma, sfortunatamente, ...IL GET ed il POST funzionavano lo stesso...

Con l'arrivo dei webservice integrati in .net speravo nell'obbligatorietà di utilizzo del metodo soap e non più del get&post...ma anche li il nulla di fatto.

Poi ho scoperto che con una semplice (e x fortuna non tanto nascosta) modifica al machine.config (o web.config) è possibile DISABILITARE questi due protocolli!! (poi spiego, anzi faccio spiegare come)

A mio malgrado però ho sempre notato che la mia "teoria" della pericolosità di lasciare il GET e POST attivi per i webservice è sempre stata sormontata dalla evidente comodità per alcuni sviluppatori di fare un semplice get o post per avere le risposte dai webservice...

Ora (ed ecco il motivo del mio post) a due anni di distanza dalla sua pubblicazione ho scoperto questo articolo sul sito di microsoft che parla appunto di tutto questo!!

Eccolo (spiega -meglio di me- il perchè e come correggere il problema + eventuali problemi collaterali): http://www.microsoft.com/italy/msdn/library/webservices/disHTT.asp

(l'ho già stampato in mille copie ;-P)


Feedback

# web hosting

Gravatar Although I can't consent with all you staded, I must acknowledge I do really like your way of composing.
23/01/2013 13:43 | web hosting

# bicis antiguas

Gravatar Very exciting topic would save your website to examine if you create more about later on.
14/02/2013 15:02 | bicis antiguas

# re: AH AHHH!! http post e get dei webservice BANDITI X SEMPRE!!

Gravatar Capítulo 26 Rongrong pequeña en el baño
Veinte y seis capítulos pequeña Rongrong en el baño
"No Zapatillas MBT me gusta el hombre hábil, que respeto de sí mismo."
Fan fuerte jaja rió: "Yo no hice mucha labia, yo estoy diciendo la verdad, a mi gente, a pesar de Mbt Zapatillas que a veces la flor de la boca, pero es la verdad, si no lo crees, entonces olvídalo."
Después de Van fuerte para sacar las tarjetas telefónicas, que lanza teléfono móvil Qi Yuanlan, MBT Sko para la parte de la nueva mijo 3, se puso de pie.
"Bueno, yo me haya ido, sin arrastrar ni menos, limpio." 31/10/2014 10:26 | zapatos mbt

# re: AH AHHH!! http post e get dei webservice BANDITI X SEMPRE!!

Gravatar dari crystalxmengatasikeputihan berbagi sebagai crystal x keputihan, dalam menghambat crystal x murah tidak distributor crystal x keputihan nasa yaitu crystal x bakteri perbedaan crystal x asli dan palsu produk penyakit seluruh doktercrystalx produk doktercrystalx Indonesia ayla breast care seperti kolagen bakteri saya collaskin yaitu kroto kolagen
06/10/2016 11:01 | BAW

# kamagra 100mg tablets for sale in us sen

Gravatar kamagra oral jelly user reviews
[url=http://kamagraonl.com/]buy kamagra 100 mg[/url]
kamagra oral jelly kaufen wien
kamagra 100 mg oral jelly
kamagra oral jelly how to use
http://kamagraonl.com/
kamagra 100mg reviews
09/05/2018 22:57 | Michaelbeple

# kamagra 100mg 7 tablets sen

Gravatar kamagra usa next day shipping
buy kamagra online
kamagra winkel utrecht
[url=http://kamagraonl.com/]buy kamagra 100 mg[/url]
kamagra oral jelly manufacturers in india
http://kamagraonl.com/
kamagra gold 100mg rendeles 10/05/2018 15:45 | Marionurive

Comments have been closed on this topic.
 

 

Copyright © Francesco Rubini