Las marcas de tiempo de seguridad indican la "actualidad" de la semántica de seguridad de los mensajes. De modo que, si un mensaje es interceptado y retransmitido en un momento posterior, el receptor puede rechazar los mensajes obsoletos. Opcionalmente, las marcas de tiempo pueden incluir un atributo de vencimiento que establece un límite estricto sobre la duración de la validez de la semántica de seguridad.

Para evitar que los atacantes manipulen las marcas de tiempo, estas deben estar firmadas. Sin una marca de tiempo firmada, se puede interceptar un mensaje SOAP y modificar la marca de tiempo sin el conocimiento del receptor. En estas circunstancias, un atacante puede engañar a un destinatario para que acepte un mensaje malintencionado.

La siguiente configuración del proveedor de servicios indica a Axis 2 que envíe marcas de tiempo sin firmar:

<service>
        ...
	<parameter name="OutflowSecurity">
		<action>
			<items>Timestamp Encrypt</items>
			...
		</action>
	</parameter>
</service>

Los proveedores de servicios que utilizan UsernameToken pueden aceptar contraseñas enviadas en texto sin formato. El envío de contraseñas de texto sin formato a través de un canal no cifrado puede exponer la credencial a cualquier atacante que pueda examinar el mensaje SOAP.

Ejemplo 1: La siguiente configuración del proveedor de servicio Axis 2 utiliza un UsernameToken:

<service>
...
    <parameter name="InflowSecurity">
      <action>
        <items>UsernameToken</items>
...
</service>

El módulo Rampart WS-Security no está habilitado. WS-Security es una extensión de SOAP que proporciona integridad y confidencialidad de los mensajes de un extremo a otro, independientemente del protocolo de transporte. Cuando no se utiliza WS-Security, la integridad y confidencialidad de los mensajes dependen de la seguridad del transporte. Si un servicio retransmite mensajes a otros servicios, los mensajes se exponen al mecanismo de transporte más débil utilizado entre los puntos de retransmisión. WS-Security elimina la dependencia de la seguridad del transporte y crea seguridad en el propio mensaje.

WS-Security es una extensión de SOAP que proporciona integridad y confidencialidad de los mensajes de un extremo a otro, independientemente del protocolo de transporte. Cuando no se utiliza WS-Security, la integridad y confidencialidad de los mensajes dependen de la seguridad del transporte. Si un servicio retransmite mensajes a otros servicios, los mensajes se exponen al mecanismo de transporte más débil utilizado entre los puntos de retransmisión. WS-Security elimina la dependencia de la seguridad del transporte y crea seguridad en el propio mensaje.

La ausencia de un parámetro InflowSecurity en el archivo de configuración de Apache Axis 2 indica que la seguridad de los mensajes entrantes no está habilitada.

El cifrado a nivel de mensaje SOAP garantiza una verdadera confidencialidad de un extremo a otro. Los mensajes SOAP se pueden enviar a través de varios protocolos de transporte como HTTPS, HTTP, TCP, SMTP, UDP, etc. El cifrado a nivel de mensaje garantiza la confidencialidad del mensaje independientemente del protocolo de transporte. Un escenario común entre los servicios web es retransmitir mensajes SOAP entre servicios, por lo que el cifrado a nivel de mensajes significa que los remitentes y receptores de mensajes no necesitan preocuparse por la seguridad del transporte entre los puntos de retransmisión.

Ejemplo 1: La siguiente configuración del cliente Apache Axis 2 Rampart no requiere mensajes entrantes para el cifrado debido a que la etiqueta <items> no contiene una directiva Encrypt:

<service>
...
	<parameter name="InflowSecurity">
		<action>
			<items>Timestamp Signature</items>
			...
		</action>
	</parameter>
</service>

Cualquier parte de un mensaje que no esté firmada tiene el potencial de que se intercepte y modifique sin el conocimiento del remitente o del receptor. Sin una firma, el receptor no puede verificar criptográficamente que el contenido de un mensaje realmente se originase con el remitente.

La siguiente configuración del cliente indica a Axis 2 que acepte los mensajes sin firmar:

<axisconfig name="AxisJava2.0">
...
	<parameter name="InflowSecurity">
		<action>
			<items>Timestamp Encrypt</items>
			...
		</action>
	</parameter>
</axisconfig>

Una marca de tiempo de seguridad indica la actualidad de un mensaje. Si un atacante intercepta un mensaje y lo retransmite más tarde, el receptor puede rechazar el ataque de reproducción porque la marca de tiempo indicará que el mensaje está obsoleto. Opcionalmente, las marcas de tiempo pueden incluir un atributo de vencimiento que establece un límite estricto sobre la duración de la validez de la semántica de seguridad.

Para evitar que los atacantes manipulen las marcas de tiempo, estas deben estar firmadas. Sin una marca de tiempo firmada, podría ser posible interceptar un mensaje SOAP, modificar la marca de tiempo y enviar el mensaje sin el conocimiento del receptor. En estas circunstancias, un atacante puede engañar a un destinatario para que acepte un mensaje malintencionado.

La siguiente configuración de Apache Axis 2 Rampart omite la directiva Timestamp de la etiqueta <items>, por lo que el cliente no requiere que las respuestas contengan marcas de tiempo.

<axisconfig name="AxisJava2.0">
...
   <parameter name="InflowSecurity">
      <action>
        <items>Signature Encrypt</items>
...
</axisconfig>

El cifrado a nivel de mensaje SOAP garantiza una verdadera confidencialidad de un extremo a otro. Los mensajes SOAP se pueden enviar a través de varios protocolos de transporte como HTTPS, HTTP, TCP, SMTP, UDP, etc. El cifrado a nivel de mensaje garantiza la confidencialidad del mensaje independientemente del protocolo de transporte. Un escenario común entre los servicios web es retransmitir mensajes SOAP entre servicios, por lo que el cifrado a nivel de mensajes significa que los remitentes y receptores de mensajes no necesitan preocuparse por la seguridad del transporte entre los puntos de retransmisión.

Ejemplo 1: La siguiente configuración del cliente Apache Axis 2 Rampart no requiere mensajes entrantes para el cifrado debido a que la etiqueta <items> no contiene una directiva Encrypt:

<service>
...
	<parameter name="OutflowSecurity">
		<action>
			<items>Timestamp Signature</items>
			...
		</action>
	</parameter>
</service>

Cualquier parte de un mensaje que no esté firmada podría ser interceptada y modificada sin que el receptor detecte la modificación. Sin una firma, un receptor no puede verificar criptográficamente el origen del contenido del mensaje.

La siguiente configuración del cliente indica a Axis 2 que envíe solicitudes sin firmar:

<axisconfig name="AxisJava2.0">
...
	<parameter name="OutflowSecurity">
		<action>
			<items>Timestamp Encrypt</items>
			...
		</action>
	</parameter>
</axisconfig>

Una marca de tiempo de seguridad indica la actualidad de los datos de seguridad de un mensaje. Si un atacante intercepta un mensaje y lo retransmite más tarde, el receptor puede rechazar el ataque de reproducción porque la marca de tiempo indicará que el mensaje está obsoleto. Opcionalmente, las marcas de tiempo pueden incluir un atributo de vencimiento que establece un límite estricto sobre la duración de la validez de la semántica de seguridad.

Para evitar que los atacantes manipulen las marcas de tiempo, estas deben estar firmadas. Sin una marca de tiempo firmada, un atacante podría interceptar un mensaje SOAP, modificar la marca de tiempo y enviar el mensaje sin el conocimiento del receptor. En estas circunstancias, un atacante puede engañar a un destinatario para que acepte un mensaje malintencionado.

La siguiente configuración de Apache Axis 2 Rampart omite la directiva Timestamp de la etiqueta <items>, por lo que el cliente no envía solicitudes con marcas de tiempo.

<axisconfig name="AxisJava2.0">
...
   <parameter name="OutflowSecurity">
      <action>
        <items>Signature Encrypt</items>
...
</axisconfig>

WS-Security es una extensión de SOAP que proporciona integridad y confidencialidad de los mensajes de un extremo a otro, independientemente del protocolo de transporte. Cuando no se utiliza WS-Security, la integridad y confidencialidad de los mensajes dependen de la seguridad del transporte. Si un servicio retransmite mensajes a otros servicios, los mensajes se exponen al mecanismo de transporte más débil utilizado entre los puntos de retransmisión. WS-Security elimina la dependencia de la seguridad del transporte y crea seguridad en el propio mensaje.

La ausencia de un parámetro OutflowSecurity en el archivo de configuración de Apache Axis 2 indica que la seguridad de los mensajes entrantes no está habilitada.

Usar un tipo de contraseña de PasswordText podría ser una indicación de que las contraseñas reales se transmiten en texto sin formato. El perfil de UsernameToken de WS-Security indica que el texto enviado en la etiqueta <Password> de UsernameToken no se limita a contraseñas reales, sino que puede contener derivadas de contraseñas. Sin embargo, es común que los desarrolladores envíen contraseñas reales en lugar de derivadas de contraseñas. El envío de contraseñas no cifradas o incluso hash de contraseñas expone las credenciales a cualquiera que tenga un rastreador de tráfico.

Una marca de tiempo de seguridad indica la actualidad de un mensaje. Si un atacante intercepta un mensaje y lo retransmite más tarde, el receptor puede rechazar el ataque de reproducción porque la marca de tiempo indicará que el mensaje está obsoleto. Opcionalmente, las marcas de tiempo pueden incluir un atributo de vencimiento que establece un límite estricto sobre la duración de la validez de la semántica de seguridad.

Para evitar que los atacantes manipulen las marcas de tiempo, estas deben estar firmadas. Sin una marca de tiempo firmada, un atacante puede interceptar un mensaje SOAP, modificar la marca de tiempo y enviar el mensaje sin el conocimiento del receptor. En estas circunstancias, un atacante puede engañar a un destinatario para que acepte un mensaje malintencionado.

La siguiente configuración del cliente indica a Axis 2 que acepte marcas de tiempo sin firmar:

<axisconfig name="AxisJava2.0">
...
	<parameter name="InflowSecurity">
		<action>
			<items>Timestamp Encrypt</items>
			...
		</action>
	</parameter>
</axisconfig>

Una marca de tiempo de seguridad indica la actualidad de un mensaje. Si un atacante intercepta un mensaje y lo retransmite más tarde, el receptor puede rechazar el ataque de reproducción porque la marca de tiempo indicará que el mensaje está obsoleto. Opcionalmente, las marcas de tiempo pueden incluir un atributo de vencimiento que establece un límite estricto sobre la duración de la validez de la semántica de seguridad.

Para evitar que los atacantes manipulen las marcas de tiempo, estas deben estar firmadas. Sin una marca de tiempo firmada, un atacante puede interceptar un mensaje SOAP, modificar la marca de tiempo y enviar el mensaje sin el conocimiento del receptor. En estas circunstancias, un atacante puede engañar a un destinatario para que acepte un mensaje malintencionado.

La siguiente configuración del cliente indica a Axis 2 que envíe marcas de tiempo sin firmar:

<axisconfig name="AxisJava2.0">
...
	<parameter name="OutflowSecurity">
		<action>
			<items>Timestamp Encrypt</items>
			...
		</action>
	</parameter>
</axisconfig>

El envío de contraseñas de texto sin formato a través de un canal no cifrado puede exponer la credencial a los atacantes que pueden examinar el mensaje SOAP.

Ejemplo 1: La siguiente configuración del cliente Axis 2 utiliza un UsernameToken (una contraseña):

<axisconfig name="AxisJava2.0">
...
    <parameter name="OutflowSecurity">
      <action>
        <items>UsernameToken</items>
        <user>bob</user>
        <passwordCallbackClass>org.apache.rampart.samples.PWCBHandler</passwordCallbackClass>
        <passwordType>PasswordText</passwordType>
      </action>
    </parameter>
...
</axisconfig>

El módulo Rampart WS-Security no está habilitado. WS-Security es una extensión de SOAP que proporciona integridad y confidencialidad de los mensajes de un extremo a otro, independientemente del protocolo de transporte. Cuando no se utiliza WS-Security, la integridad y confidencialidad de los mensajes dependen de la seguridad del transporte. Si un servicio retransmite mensajes a otros servicios, los mensajes se exponen al mecanismo de transporte más débil utilizado entre los puntos de retransmisión. WS-Security elimina la dependencia de la seguridad del transporte y crea seguridad en el propio mensaje.

Cuando axis.development.system se establece en true en el archivo de configuración del servidor, el sistema se comporta como si fuera un entorno de desarrollo. Envía seguimientos de pila en respuestas SOAP que pueden filtrar información sobre el sistema o la aplicación.

Cuando axis.disableServiceList se establece en false, Apache Axis devolverá una lista de servicios disponibles cuando se realice una operación GET en una raíz de servlet. La lista de servicios puede contener una lista de características que muestran que no son de acceso público.

Usar un tipo de contraseña de PasswordText podría ser una indicación de que las contraseñas reales se transmiten en texto sin formato. El perfil de UsernameToken de WS-Security indica que el texto enviado en la etiqueta<Password> de UsernameToken no se limita a ser contraseñas reales. Pueden ser derivados de contraseña. Sin embargo, es común que los desarrolladores envíen contraseñas reales en lugar de derivadas de contraseñas. El envío de contraseñas no cifradas o incluso hash de contraseñas expone las credenciales a cualquiera que tenga un rastreador de tráfico.

Los proveedores de servicios que utilizan UsernameToken pueden aceptar contraseñas enviadas en texto sin formato. El envío de contraseñas de texto sin formato a través de un canal no cifrado puede exponer la credencial a los atacantes que pueden examinar el mensaje SOAP.

Ejemplo 1: La siguiente configuración del proveedor de servicio Axis utiliza el UsernameToken:

<deployment xmlns:java="http://xml.apache.org/axis/wsdd/providers/java">
...
	<parameter name="action" value="UsernameToken"/>
...
</deployment>