Rich client Attack Surface Scan

Bij Silverlight en andere rich client applicaties draait een client deel van de applicatie buiten de firewall op de machine van de client. Deze rich client maakt daarbij gebruik van de services op de server die achter de firewall staat.

Omdat alle functionaliteit die in een client zit, ter beschikking moet worden gesteld door de service, dienen we veel functionaliteit door de firewall heen te publiceren. Omdat we veel functionaliteit moeten publiceren, hebben rich client applicaties een grote attack surface.

Om dit risico te verkleinen willen we zo weinig mogelijk functionaliteit naar buiten beschikbaar stellen. Omdat functionaliteit van een user interface vaak wisselt en services zelden worden opgeruimd, gebeurt het regelmatig dat ongebruikte functionaliteit gepubliceerd blijft.

Omdat dit zowel impact heeft op de veiligheid als de onderhoudkosten zouden we graag een tool hebben die gebruikt kan worden om een inventarisatie te maken welke webservices gebruikt worden en welke niet.

Opdracht

Bouw de inventarisatietool.

Oplossingsrichting: De huidige fxcop stack heeft de mogelijkheid om dependency paths te scannen. Door de codepaden in de Silverlight applicatie en de wcf stack langs te gaan kan er een lijst met gebruikte services gemaakt worden. Door deze informatie te combineren, kan een scan over de technologie gemaakt worden, waarbij de uitkomst een lijst met niet gebruikte services is.

Benodigde kennis en/of interesse

• Silverlight
• WCF
• FXCop