C# 需要SOAP安全建议

在进行全面的第三方渗透测试之前，我们的一个客户已经对我们的系统进行了初步的安全审计

这揭示了一些我们乐于处理的潜在漏洞，但报告中有一项我不确定是否同意，但我无法说服他们

他们报告说，他们能够向我们的一个基于soap的web服务发送一条被篡改的消息，并且报告了一个错误。他们认为，这意味着服务器试图处理该消息

所以请求看起来像这样：-

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://example.com/soap/envelope/]]&gt;&gt;&lt;" xmlns:s="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
    <SOAP-ENV:Body>
        <tns:SomeMethod xmlns:tns="http://example.com/"/>
    </SOAP-ENV:Body>
</SOAP-ENV:Envelope>

注意编码的]]>> 有人能确认我们是否有安全问题吗？如果是这样的话，我们应该怎么解决呢

没有安全问题

对于本例，不同的SOAP处理器将产生不同的错误消息，尽管SOAP协议建议出现“SOAP版本不匹配”错误。根据我10多年使用XML、SOAP和其他web服务协议的经验，他的SOAP处理器所做的是完全合法的。它只是基于XML名称空间不匹配而拒绝

SOAP-ENV:Envelope

限定标记，因为xmlns绑定URI与预期URI完全不同：

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://example.com/soap/envelope/]]&gt;&gt;&lt;"

---

非常感谢您的回复。这就是我们的想法。
<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://example.com/soap/envelope/]]&gt;&gt;&lt;"