aggiungere requisiti sicurezza per webservice

[Kahm]

salve a tutti
La mia ditta ha ricevuto una mail in quanto da un test il software risulta potenzialmente a rischio :
"dalle analisi di sicurezza si riporta che il SW utilizza API esposte che possono essere sfruttate da eventuali tipologie di attacco invasivo. Pertanto il programma non presenta i requisiti di sicurezza attinenti alle policy interne "

Non sono stati dettagliati su DOVE si trova la falla ma penso che parlino del servizio web,
attualmente faccio delle chiamate ajax del tipo

codice:

   $.ajax({
                "dataType": 'json',
                "contentType": "application/json; charset=utf-8",
                "dataType": "json",
                "type": "POST",
                "url": "Servizio.asmx/VisualizzaDescFromCodice",
                "data": "{'CodiceBarre': '" + CodiceBarre + "'}",  // params,
                "success": function (data) {
                    //alert(data.d);
                    //alert(JSON.stringify(data));


                    return data.d;
                }//success

chiedo suggerimenti per aumentare la sicurezza
cosa devo implementare? cosa fare in mdoo che solo gli javascript accedino?
grazie

ho appena aggiunto questo nel web.config, pensate possa bastare?

codice:

	<authentication mode="Forms">
			<forms name=".ASPXFORMS" loginUrl="Login.aspx" protection="All" path="/" timeout="30"/>
		</authentication>
        <authorization>
      <allow users="*"/>
      <deny users="?" />
        </authorization>

[alka]

Quando si parla di sicurezza, ci si riferisce a tutt'altra cosa, ad esempio a possibili vulnerabilità a XSS (Cross Site Scripting), oppure a una mancante configurazione di CORS.

Non è solo una questione di diritti utente o di negare un accesso anonimo.

In genere, chi fa l'assessment e determina le vulnerabilità, almeno le qualifica in termini di pagine o procedure in cui sono state riscontrate, indicando di quale tipo è.

Il messaggio che hai riportato tu può riferirsi a tutto (anche a SQL Injection, per dire) oppure a niente.

Dovete far riferimento a uno sviluppatore esperto in tematiche legate alla sicurezza per valutare le azioni da mettere in campo per la risoluzione dei problemi segnalati, magari chiedendone un dettaglio o consultando un'azienda che svolga questo tipo di lavoro.

[URANIO]

E' un controllo generico.
Semplicemente ti stanno dicendo che c'è un API esposta, Alla rete o a internet.
Quindi qualcuno potrebbe accederci e usarla e magari sfruttarne un bug.

Quello che ti chiedono in sostanza è di rendere privata l'API se è possibile, in modo che solo i programmi che possono accederci ne abbiano accesso, modificando i permessi in base a ip o dominio ad esempio.

[supermac]

seguo

@uranio
chiedo: quindi stante che l'url dell'asmx è all'interno del sito potrebbe già bastare aver messo il deny users "?" nel webconfig?

[URANIO]

Secondo me si.

Poi bisogna capire cosa intende la frase
"dalle analisi di sicurezza si riporta che il SW utilizza API esposte che possono essere sfruttate da eventuali tipologie di attacco invasivo. Pertanto il programma non presenta i requisiti di sicurezza attinenti alle policy interne "
Da questa frase sembrerebbe che accede ad api esterne

[supermac]

vero.... strano messaggio

Grazie