WLS WS-SecurityPolicy 1.0断言,第三部分

最新推荐文章于 2024-11-25 12:18:57 发布
最新推荐文章于 2024-11-25 12:18:57 发布
阅读量577 收藏 1
点赞数
分类专栏: WebServices相关 文章标签: 加密 security 解密 soap header algorithm
本文介绍了WS-Security规范中的Confidentiality断言如何应用于SOAP消息的加密过程,详细解析了各元素的作用及其实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 Confidentiality断言的模式如下: 
  <element name="Confidentiality">
    <complexType>
      <sequence>
        <element name="KeyWrappingAlgorithm" type="secpol:AlgorithmType" minOccurs="0" maxOccurs="1"/>
        <element name="Target" type="secpol:ConfidentialityTargetType" minOccurs="1" maxOccurs="unbounded"/>
        <element name="KeyInfo" type="secpol:KeyInfoType"/>
      </sequence>
    </complexType>
  </element>

  KeyWrappingAlgorithm指定包装对称密钥的算法。EncryptionAlgorithm指定用于对目标执行加密的算法。Target元素则提供了对消息中的特定块进行加密的细节。它对应于消息中的EncryptedData块。可以有一个或多个Target。KeyInfo指定用于加密的密钥。如果不定义SupportedTokens元素,Confidentiality断言就成为抽象。

  我们进一步来看看断言定义是如何转换为SOAP消息布局的。下面是一个包含wsse:Security头部的SOAP消息片段:

<soapenv:Header>
<wsse:Security>
<xenc:EncryptedKey>
      <xenc:EncryptionMethod Algorithm="…#rsa1_5"/>
      <ds:KeyInfo>
         <wsse:SecurityTokenReference>...</wsse:SecurityTokenReference>
      </ds:KeyInfo>
      <xenc:CipherData>
         <xenc:CipherValue>…</xenc:CipherValue>
      </xenc:CipherData>
      <xenc:ReferenceList>
        <xenc:DataReference URI="#id"/>
      </xenc:ReferenceList>
    </xenc:EncryptedKey>
  </wsse:Security>
</soapenv:Header>

  Security头部中的EncryptedKey元素包含了用于加密和解密的对称密钥。对称密钥本身由另一个密钥加密。KeyWrappingAlgorithm断言在EncryptedKey中定义了EncryptionMethod元素。在该示例中,对称密钥是通过RSA加密方法保护起来的。即,消息发送方使用接收方的公钥加密对称密钥,而接收方则使用自己的私钥解密对称密钥。对称密钥被解密之后,接收方使用该密钥来解密被加密的消息部分。被加密的消息部分定义在Target断言中,且最终将在EncryptedKey中的ReferenceList元素中进行转换。KeyInfo断言对应于EncryptedKey中的KeyInfo元素。接收方使用KeyInfo元素解密私钥,然后再用解密后的私钥来解密被加密的对称密钥(定义在EncryptedKey的CipherData元素中)。

原文出处:http://dev2dev.bea.com/blog/jlee/archive/2005/10/wls_wssecurityp_3.html

WebLogic wls9-async 反序列化漏洞(CNVD-C-2019-48814)复现
qq_38348692的博客
08-16 1797
准备环境: (1)kali 2.0 (2)windows server 2008 R2 (3)jdk-8u68-windows-x64 , 在安装jdk时,要避免在路径中出现空格及中文。 (4)weblogic服务器安装包 12.1.3 server 2008 服务器上安装jdk,并配置环境变量。在cmd输入java和javac后不报错即配置成功。 安装weblogic:...
CNVD-C-2019-48814 WebLogic wls9-async 反序列化漏洞
weixin_42140534的博客
03-07 870
0x01 漏洞介绍 中国民生银行红蓝对抗演习时,红队使用这个0day,拿下防守方的服务器 该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/—async/AsyncResponseSerce路径下传入构造好的恶意XML格式的数据,传入的数据在服务器端反序列化,执行1其中的恶意代码,从而可以getshell。 序列化就是把对象转换成字节流,便于保存在内存、文件、数...
WLS WS-SecurityPolicy 1.0断言,第二部分
06-15 694
 我们首先来看Integrity断言的模式定义:   SignToken属性用于说明签名是否会包括用于签名的密钥。SignatureAlgorithm元素指定了SignedInfo的签名方法的算法。Canonicalization
WLS WS-SecurityPolicy 1.0断言,第一部分
06-15 771
身份断言被用来指定支持何种令牌进行身份验证。其模式如下:                                                                                     SupportedTokens元素列出了身份验证所支持的所有可能令牌。SecurityToken元素指定了令牌类型,以及是否要将令牌本身包含在SOAP消息中。对于身份验证
WS-Policy
06-16 533
WS-Policy解决的问题 我们知道在SOA架构中,最重要的基石就是Service,而业务上对于服务约束来自于业务的契约Contract,那么我们如何在服务的实现过程中体现相应的contract约束呢? 对于SOA规范中标准化的Web Service来讲,体现这些约束的标准就是WS-Policy,而其他的规范像WS-Addressing,WS-RM,WS-Security都可以看做WS-Po
WS-Policy学习笔记
麦田开拓者
07-11 1735
http://dev2dev.bea.com.cn/blog/woohoo/200710/18_470.htmlWS-Policy解决的问题我们知道在SOA架构中,最重要的基石就是Service,而业务上对于服务约束来自于业务的Contract,那么我们如何在服务的实现过程中体现相应的contract约束呢?对于SOA规范中标准化的Web Service来讲,体现这些约束的标准
WebService基于契约编程的基础-WS-Policy学习笔记
woohooli的专栏
10-18 2624
 WS-Policy解决的问题我们知道在SOA架构中,最重要的基石就是Service,而业务上对于服务约束来自于业务的契约Contract,那么我们如何在服务的实现过程中体现相应的contract约束呢?对于SOA规范中标准化的Web Service来讲,体现这些约束的标准就是WS-Policy,而其他的规范像WS-Addressing,WS-RM,WS-Security都可以看做WS
使用AquaLogic Service Bus保护服务
Natureice的专栏
03-15 2406
有关ALSB security控制的,编写https接口模块会用到。 时间:2006-06-05作者:Paul Done浏览次数:本文关键字:AquaLogic Service Bus, service bus, enterprise service bus, ws-policy, web services, pki, proxy service, AquaLogic Servic
weblogic 12.2.1.4 2024.10补丁集 p37087476解决的CVE新漏洞
Oracle DBA 从业15年 擅长oracle 补丁 优化 运维 故障 管理
11-25 1133
WEBLOGIC.JMS.COMMON.JMSEXCEPTION:WEBLOGIC.MESSAGING.DISPATCHER.DISPATCHEREXCEPTION:JAVA.RMI.REMOTEEXCEPTION:此 RJVM 已关闭。Java 提供了jar 实用程序可以避免此问题,例如jar -xvf p37087476_122140_Generic.zip。ORACLE.AS.JMX.FRAMEWORK.STANDARDMBEANS.SPI.ORACLESTANDARDEMITTER 处的线程卡住。
Spring Boot启动参考指南(官方版)
开发猫
10-03 7349
Spring Boot启动参考指南 作者 Phillip Webb, Dave Syer, Josh Long, Stéphane Nicoll, Rob Winch, Andy Wilkinson, Marcel Overdijk, Christian Dupuis, Sébastien Deleuze, Michael Simons, VedranPavić, Jay Bryant, Ma...
WebLogic Server 9.2上的消息级加密入门
DCTM + SAP
12-11 177
时间:2006-12-26 作者:Mamoon Yunus, Rick White 摘要   消息级安全性是企业级SOA的基础。通过使用SOAP加密SOAP签名,机密性和完整性由于独立于传输协议而能够“始终保持”。因为安全性现在内置于SOAP消息内,所以Web服务使用者、生产者或中间人之间的传输管道(HTTP、FTP、JMS)是否支持SSL无关紧要。   本教程将介绍如何设置SOAP消息级加密...
关于禁用weblogic wls-wsat组件的步骤说明
09-03
### 关于禁用WebLogic WLS-WSAT组件的步骤说明 #### 一、概述 在WebLogic服务器中,WLS-WSAT (Web Services Atomic Transactions) 组件可能存在某些安全漏洞,为了保护系统免受潜在攻击,可以通过禁用此组件的方式...
cve-2017-10271-poc.py weblogic反序列化 WLS
01-02
python2.x 最新weblogic反序列化漏洞利用工具 WLS /wls-wsat/CoordinatorPortType
Web Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725)
weixin_38477805的博客
05-13 2271
Web Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725) 1.漏洞说明 1.1 描述:部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命...
转化问题学生的六种激励法.doc
最新发布
08-10
转化问题学生的六种激励法.doc
一个基于Java编写的聊天软件,支持好友列表,窗口多开,JSP Web注册账户 分Client端和Server端
08-10
一个基于Java编写的聊天软件,支持好友列表,窗口多开,JSP Web注册账户。分Client端和Server端。
安全设计“左移”:DevSecOps 成为编码起点.doc
08-10
安全设计“左移”:DevSecOps 成为编码起点.doc
酒店管理系统概要设计说明书.doc
08-10
酒店管理系统概要设计说明书.doc
幼儿园助理工作总结.doc
08-10
幼儿园助理工作总结.doc
wls--update 具体怎么安装
06-12
`wls --update` 是更新 WSL(Windows Subsystem for Linux)的命令,需要先安装 WSL 才能使用。下面是具体的安装步骤: 1. 打开 PowerShell:在 Windows 10 系统中,按下 Win+X 快捷键,选择“Windows PowerShell...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值