针对WPF应用程序的攻击或安全漏洞是什么?
为了澄清,我没有问如何对WPF应用程序执行SQL注入,或者应该使用哪种加密方法,或者...我也没有具体询问框架或WPF本身中的缺陷,而基于不适当实施可能会出现的缺陷。
非常特别的是,我对新的攻击或新的向量感兴趣,它们是WPF中实现的客户端应用程序特有的。不是特别的XBAP ... ClickOnce相关的问题也会很好。针对WPF应用程序的攻击
WPF Skin Skinning Security Concerns将是一个很好的例子,虽然不是特别相关,以我的特殊需要(但仍然是一个有效的答案)。
使用WPF,人们更容易窃取你的GUI。但是,一般来说,它可能会导致更好的安全性,因为默认情况下,WPF控件不会获取Windows消息。他们使用命中测试来分派使用路由命令的事件。就Windows而言,这是一个在该空间运行的游戏,而不是Windows应用程序。
虽然在Visual Studio 2010扩展管理器中有一个插件来帮助混淆你的XAML。 – 2010-06-24 17:36:32
另一个考虑因素是,虽然应用程序对Windows消息传递和相关接口一无所知,但有些程序允许您查看WPF中的可视化树。有一个名为Snoop(http://snoopwpf.codeplex.com/)的工具,可以检查您的可视化树以进行调试。这可能是值得关注的问题,但通常这不是什么大问题。 – 2010-06-24 18:24:15
感谢您的信息。有趣的,但不帮助我呢...我实际上倾向于接受该应用程序是相对安全的:) – AviD 2010-06-29 23:23:15
我已经做了一些搜索,并且我找不到由于基于WPF的漏洞而发布的单个CVE编号。这是一个很好的问题,我知道我的答案并不完整。 – rook 2010-07-14 15:12:05
@TheRook,我也对基于WPF的应用程序的实现缺陷感兴趣,这些缺陷是由于不熟悉WPF的工作方式和管道方式而造成的,而不仅仅是WPF本身的恶意。 – AviD 2010-07-16 20:34:12
是的,我认为我们在同一页面上。我看到的问题是攻击者可以通过攻击wpf获得什么?从滥用附加调试器无法获得的WPF可以获得什么?我对窗口世界了解不多,但它不会让我成为一个攻击面(但我可能完全脱离了这里的基础)。 – rook 2010-07-16 20:48:39