适用于Oracle供应商网络的Oracle电子商务套件 12.2 Web服务安全性

这是博客系列中的第九篇文章,总结了新的Oracle电子商务套件 12.2移动和Web服务功能以及保护它们的建议。

Web服务与Oracle电子商务套件的最常见用法是Oracle Suppler Network(OSN)。不要将OSN与Oracle社交网络(也称为OSN)混淆,或者在配置OSN时,不要将Oracle Transport Agent(OXTA)Web服务与Oracle Training Administration(OTA)Web服务混淆。

要使用OSN,必须同时配置url_fw.conf和url_fw_ws.conf文件以打开XML网关使用OXTA Web服务的流量。 OSN文档在某些地方会混淆OTXA和OTA。 风险在于,在url_fw_ws.conf中既有针对Oracle培训管理(OTA)模块的服务,也有针对OXTA的服务。除非同时使用两者,否则请注意仅打开正确的服务。

还应注意,尽管OSN使用Web服务,但自12.2.5开始,OSN的Web服务并未显示为已部署在ISG存储库中。 这是因为OSN的功能已内置在Oracle电子商务套件的核心功能中。

需要特别注意的是,在通过Internet与贸易伙伴一起使用OSN时,需要打开Internet的电子商务套件。不幸的是,没有明确指出应使用WAF(理想情况下是API网关)来保护OSN。即使OSN是唯一使用的Web服务,仍然需要WAF来保护攻击面。

最后,用于各种OSN帐户(在OSN GUI表单中定义)的密码必须很复杂并且需要定期轮换。许多客户忘记了这些帐户。

如有任何疑问,请通过以下方式与我们联系 [email protected]

-Michael Miller,CISSP-ISSMP,CCSP,CCSK

参考文献

 
 
 
 

 Share this post