針對WPF應用程序的攻擊或安全漏洞是什麼?
爲了澄清,我沒有問如何對WPF應用程序執行SQL注入,或者應該使用哪種加密方法,或者...我也沒有具體詢問框架或WPF本身中的缺陷,而基於不適當實施可能會出現的缺陷。
非常特別的是,我對新的攻擊或新的向量感興趣,它們是WPF中實現的客戶端應用程序特有的。不是特別的XBAP ... ClickOnce相關的問題也會很好。針對WPF應用程序的攻擊
WPF Skin Skinning Security Concerns將是一個很好的例子,雖然不是特別相關,以我的特殊需要(但仍然是一個有效的答案)。
使用WPF,人們更容易竊取你的GUI。但是,一般來說,它可能會導致更好的安全性,因爲默認情況下,WPF控件不會獲取Windows消息。他們使用命中測試來分派使用路由命令的事件。就Windows而言,這是一個在該空間運行的遊戲,而不是Windows應用程序。
雖然在Visual Studio 2010擴展管理器中有一個插件來幫助混淆你的XAML。 – 2010-06-24 17:36:32
另一個考慮因素是,雖然應用程序對Windows消息傳遞和相關接口一無所知,但有些程序允許您查看WPF中的可視化樹。有一個名爲Snoop(http://snoopwpf.codeplex.com/)的工具,可以檢查您的可視化樹以進行調試。這可能是值得關注的問題,但通常這不是什麼大問題。 – 2010-06-24 18:24:15
感謝您的信息。有趣的,但不幫助我呢...我實際上傾向於接受該應用程序是相對安全的:) – AviD 2010-06-29 23:23:15
我已經做了一些搜索,並且我找不到由於基於WPF的漏洞而發佈的單個CVE編號。這是一個很好的問題,我知道我的答案並不完整。 – rook 2010-07-14 15:12:05
@TheRook,我也對基於WPF的應用程序的實現缺陷感興趣,這些缺陷是由於不熟悉WPF的工作方式和管道方式而造成的,而不僅僅是WPF本身的惡意。 – AviD 2010-07-16 20:34:12
是的,我認爲我們在同一頁面上。我看到的問題是攻擊者可以通過攻擊wpf獲得什麼?從濫用附加調試器無法獲得的WPF可以獲得什麼?我對窗口世界瞭解不多,但它不會讓我成爲一個攻擊面(但我可能完全脫離了這裏的基礎)。 – rook 2010-07-16 20:48:39