保护 XML Web 服务免受黑客攻击(4/end)

定义接口
与其他 Web 应用程序相比，XML Web 服务器应用程序的一个主要优点就是很好地定义了传递到您的应用程序的整个 XML 架构。对于应用程序设计人员和开发人员来说，这意味着您已经知道 XML Web 服务所必须处理的数据具有有效的格式。如果接收的数据格式不正确，那么 Microsoft® SOAP Toolkit 2.0 或 .NET 框架之类的工具将过滤出该请求，这样您就不必为此担心了。
例如，您不必分析日期输入的语法是否有效。日期必须具有有效的 XSD 格式，否则该请求会被丢弃。您可能需要利用结构验证，因此不要隐藏字符串变量中的结构。利用 XML 的能力和灵活性可以全面描述发送和接收的数据。不可见的服务器
黑客攻击您的系统时，首先寻找的是信息。此 Web 站点是驻留在 Windows 中还是驻留在其他系统中？是否正在运行 Active Server Pages？是否安装了 Index Server？是否安装了已知的易受攻击的组件？是否安装了已知的易受攻击的 CGI 应用程序？主机是否正在运行 Microsoft® SQL Server？我是否可以对此服务器进行分布式 COM (DCOM) 调用？
对于不希望受到攻击的站点，即使非常聪明的 Internet 用户也应该无法回答上述任何问题。黑客对您的系统了解得越少，对平台的了解也越少，就越难在您的服务器上找到问题。
例如，试想一下，如果黑客只知道 XML Web 服务的 URL 为“http://www.coldrooster.com/ssf/account.asp”，他们能了解什么呢。由于此 URL 的扩展名为 .ASP，他们可以假设这是一台运行了 Active Server Pages 的 Windows 计算机。根据黑客对 Internet Information Server 的默认配置的了解，他们已具有足够的信息对大量的未正确配置的弱点进行攻击。他们可对配置方法进行大量的、很可能有效的假设，并用这些假设来刺探计算机。
如果 URL 为“http://www.coldrooster.com/ssf/account/”，情况又会怎样呢？在这种情况下，黑客得不到任何服务器所用操作系统的信息，也无从假设系统的配置。将虚拟目录级的请求映射到某个特定的 ASP 页是一个非常小的配置选项，但能为服务器提供很多保护。