我知道一個TFS 2010服務器,我可以通過創建TfsConfigurationServer來連接,但不設置任何憑據。TFS 2010安全
TfsConfigurationServer configurationServer = new TfsConfigurationServer(new Uri("address"))
連接後,我能夠檢索所有的團隊項目集合和相應的團隊項目。這不是一個安全漏洞嗎?我不確定,因爲我是TFS api的新手。
是否每個TFS服務器都允許列出像這樣的團隊項目?如果這是一個漏洞如何解決它?
它可能不是你不使用任何憑據是,那就是你不明確指定任何憑據。在這種情況下,將使用您登錄的用戶憑據,您將無需輸入用戶名和密碼即可登錄。
一個三件事情很可能發生的事情:
您登錄到您的工作站作爲域用戶。您要連接到的TFS服務器已加入到您登錄到的域的信任關係域。您的域用戶具有適當的權限來連接和查詢團隊項目集合列表。
您的計算機和TFS服務器之間沒有信任關係,但您在服務器上的工作站上有相同的用戶名/密碼配置。 (即,您正在使用「影子帳戶」或「鏡像本地帳戶」)。您的TFS服務器上的用戶具有適當的權限來連接和查詢團隊項目集合列表。
您在Windows Credential Manager中有credentials saved for this host。這些憑據具有適當的權限來連接和查詢團隊項目集合列表。
如果這兩個東西一個是不正確的,你反而會需要提供明確的用戶名/密碼憑據有權限連接和查詢團隊項目集合列表的帳戶。
它可能有可能在IIS中啓用匿名訪問,並允許訪客用戶訪問列出TFS中的項目集合,但我不知道有誰做過這些。我從未測試過這個場景。
在任何情況下,如果您正在查看啓用了此功能的服務器,則這確實不是常態。
您的用戶帳戶是否有權登錄到TFS服務器? – 2012-07-31 19:12:37
thx您的回覆。我沒有使用任何帳戶。 1)我試圖通過互聯網從我的電腦遠程2)我的電腦甚至沒有在iplc或vpn.3)我甚至沒有我的電腦的登錄ID /密碼。任何想法如何這是可能的?thx – Sat 2012-08-01 04:56:33
你怎麼沒有一個登錄ID爲您的計算機。這甚至有可能嗎?您必須以* someone *的身份登錄......我的意思是,Windows帶有一個內置的訪客帳戶,但我懷疑這些是您的客戶端憑據。您可以打開服務器上的跟蹤,以查看服務器端發生的情況。 – 2012-08-01 14:53:45