Web Services

hola amigos, no se si esto lo tendria que editar aqui, pero es donde mejor he creido que deberia de postearlo.

estoy realizando varios web services para una web, y claro, con tanto miedo a que entren modifiquen etc etc, me gustaria saber si conocen alguna herramienta en la cual pueda auditar los webservices desde un cliente remoto y asi poder verificar que no va haber ningun problema.

gracias de antemano

...mmm...definitivamente no entiendo...

Tu web service en que está programado ? la seguridad depende de como lo programes, que uses passwords cifradas y demás...

No se bien a que te refieres...

tengo entendido, que da igual el lenguaje de como programes el web service, porque luego, lo que aparece es un documento xml que te dice el nombre de tu servicio y los metodos que contiene. He estado investigando un poco y por lo que parece este archivo xml es vulnerable a xss, sql injection etc etc, y me gustaria saber si conocen algun programa que me pueda decir si tengo alguna vulnerabilidad en mi web service

Espero que ahora te lo haya podido aclarar, sino, te lo intentare explicar de otro modo,jeje

el XML es un archivo de texto, con lo cual no puede ser vulnerable, lo que si puede ser vulvenrable es si tu web service le muestra ese XML a una persona que no corresponde...

Un XML es texto plano, no puede haber seguridad ahí...La seguridad tiene que estar en la aplicación que genera ese texto plano...

viendo XSS en la wikipedia podrás leer esto

Saludos

muchas gracias, la verdad es que me dejas mas tranquilo, ya que las verificaciones de parametros las hago correctamente, mi miedo era que alguien pudiera coger el xml y acceder dentro del web service.

¿ Que interfaz utilizas ?
Yo siempre he utilizado el interfaz REST. Y el único problema que le veo es que alguien haga un mal uso del API y envíe unos parámetros incorrectos o fuera de rango.
Lo que debes procurar es que tu aplicación esté protegida frente a eso.

Por otro lado algunos Web Services que he utilizado tienen algún tipo de protección. Quizá te interese aplicar alguno al tuyo.
Ejemplos:
- Admitir las peticiones sólo desde las IP que hayan sido previamente autorizadas.
- Admitir solo las peticiones que vengan con autenticación HTTP básica (usuario+password).

Hola amigos.. estoy probando códigos para intentar comprender como funciona un web service leyendo de una base de datos y mostrando los mismos a través d eun DataSet.. el problema con este código es que a pesar de compilar sólo me devuelve un xml así <DataSet xsi:nil="true"/>

Probé quitar y agregar muchas cosas en el código pero siempre me devuelve lo mismo. Posteo el código para que me digan que estoy haciendo mal .. Aclaro que estoy utilizando Visual Studio 2008 y el web service en c#. Desde ya muchas gracias

using System;
using System.Collections;
using System.Linq;
using System.Web;
using System.Web.Services;
using System.Web.Services.Protocols;
using System.Xml.Linq;

using System.Data;
using System.Data.SqlClient;


[WebService(Namespace = "http://tempuri.org/")]
[WebServiceBinding(ConformsTo = WsiProfiles.BasicProfile1_1)]
// Para permitir que se llame a este servicio web desde un script, usando ASP.NET AJAX, quite la marca de comentario de la línea siguiente.
// [System.Web.Script.Services.ScriptService]
public class ComplexTypes : System.Web.Services.WebService {


public string cConnectString = "server=(local);database=pubs;uid=sa;pwd=;";
public SqlConnection oConn = null;
public DataSet oDS = null;
public string cErrormsg = "";
public bool lError = false;

private void SetError(string mensaje) {
mensaje = "Ocurrió un error.";
}

protected bool Open() {
if (this.oConn == null) {
try {
this.oConn = new SqlConnection(this.cConnectString);
}
catch(Exception e) {
this.SetError(e.Message);
return false;
}
}
if (this.oConn.State != ConnectionState.Open) {
try {
oConn.Open();
}
catch(Exception e) {
this.SetError(e.Message);
return false;
}
}
/// make sure our dataset object exists
if (oDS == null)
{
oDS = new DataSet();
}
return true;
}

private int Execute(string lcSQL, string lcCursor)
{
if (!this.Open())
return 0;

SqlDataAdapter oDSCommand = new SqlDataAdapter();
oDSCommand.SelectCommand = new SqlCommand(lcSQL, oConn);
DataSet oDS = new DataSet();


oDSCommand.Fill(oDS, lcCursor);

return oDS.Tables[lcCursor].Rows.Count;
}

public ComplexTypes () {

//Eliminar la marca de comentario de la línea siguiente si utiliza los componentes diseñados
//InitializeComponent();
}


[WebMethod]
public DataSet GetAuthorList(string lcNameFilter) {
if (lcNameFilter.Length == 0)
lcNameFilter = "%";
/// Open the connection to the database

int lnResult = this.Execute("select au_lname,au_fname AS name, pk " +
"from authors where au_lname like '" +
lcNameFilter + "%'" +
" order by au_lname","Authors");
if (this.lError) {
this.Close();
return null;
}
return this.oDS;
}

private void Close()
{
throw new NotImplementedException();
}

}

Aprovecho el tema para una nueva consulta:

Estoy creando un web service del lado del servidor a partir de un wsdl y veo que cuando el server retorna la respuesta coloca unos prefijo en cada tag del xml, por ejemplo:

<ns179:Id>USA</ns179:Id>
<ns180:Id>AR</ns180:Id>

yo quisiera que el server responda sin esos prefijos ns

Hay algun atributo o flag que se pueda poner en el wsdl para que el server responda asi:

<Id>USA</Id>
<Id>AR</Id>


Estoy usando java, axis2, tomcat 6 y eclipse.

Gracias.