Silverlight Security Code Scan
Bij Silverlight en andere rich client applicaties draait een client deel van de applicatie buiten de firewall op de machine van de client. Deze rich client maakt daarbij gebruik van de services op de server die achter de firewall staat.
Omdat alle functionaliteit die in een client zit, ter beschikking moet worden gesteld door de service, dienen we veel functionaliteit door de firewall heen te publiceren. Omdat we veel functionaliteit moeten publiceren, hebben rich client applicaties een grote attack surface.
Om dit risico te verkleinen willen we controles uitvoeren over deze services. Voor gebruikelijk ASP.NET sites voeren we controles uit d.m.v. Cat.net. Cat.net is een scan tool om code en datapaden van ASPX webpagina’s te controleren op beveiligingsfouten zoals SQL injectie en Cross Site Scripting.
Omdat Cat.net gebruik maakt van een standaardlijst van ASP.NET functies (als bron voor het vinden van de lekken), heeft het moeite om dergelijke webservices (voornamelijk WCF gebaseerde) te valideren.
Opdracht
Bedenk hoe dit opgelost kan worden en bewijs dit door middel van een herbruikbare scanapplicatie.
Oplossingsrichting: Cat.net maakt gebruik van een zogenaamde source specification in XML. Als we d.m.v. reflectie de services en datacontracten bekijken, zouden we deze moeten kunnen uitgenereren.
Benodigde kennis en/of interesse
Silverlight, WCF, Reflection
Afstudeeropdrachten .NET
- Explore Enterprise LAMP
- Future Proof WebApps
- Troubleshooting met Delta's
- ESB standaard loggingvoorziening (woningcorporatie)
- Systeem adapters (woningcorporatie)
- Light Weight BI Vault (zorg)
- Integratable Eform Solution
- Building a Silverlight application for planning TFS Sprint items in time
- Rich client Attack Surface Scan
- Silverlight Security Code Scan
- Rijksbrede Communicatiekalender
- Web analytics met SharePoint
- EI Berichten SAAS solution
- Azure kostenanalyse door unit-testing
- Azure Remote Control