改変
改変は、メッセージまたはメッセージの配信を変更し、意図された以外の目的のために、変更したメッセージを使用する行為です。
WS-Addressing を無効にしない
WS-Addressing の仕様では、各メッセージにアドレス ヘッダーが提供されるため、メッセージの受信者はメッセージの送信者を検証できます。この機能を無効にするには、Addressing プロパティを None に設定します。
セキュリティ モードが Message に設定された状態で、WS-Addressing が無効になっていると、攻撃者がクライアントから要求を取得して、これを別のサービスに送信した場合、要求を受信したサービスは、このメッセージが元のクライアントから送信されたことを検出できません。事実上、最初のサービスは、2 番目のサービスと対話するときに、自分をクライアントと偽ることができます。
これを防ぐには、Addressing プロパティを絶対に None に設定しないようにし、静的 Soap12 プロパティのように、Addressing プロパティを None に設定する MessageVersion の使用を避けます。
関連項目
概念
情報の漏えい
権限の昇格
サービス拒否
サポートされていないシナリオ
リプレイ攻撃