보통, asmx 페이지를 개발한 후에는 정상 동작 여부를 확인하기 위해서 아래와 같이 built-in 된 테스트 페이지를 이용하게 됩니다.
일단, .NET 개발팀은 이 방법이 편리함을 제공하긴 하지만, 보안상 문제가 있다고 판단하여 "localhost"로부터의 요청만을 테스트 할 수 있도록 해놓고, 그 이외의 컴퓨터에서 요청을 하면 다음과 같이 테스트 폼을 허용하지 않고 있습니다.
"The test form is only available for requests from the local machine"
오늘은, 모 사이트에서 asmx 페이지에 대한 테스트를 외부 컴퓨터에서도 할 수 있도록 해달라는 요청을 받았습니다. 그래서 다음과 같이 하면 된다고 알려주었지요.
<webServices>
<protocols>
<add name="HttpPost"/>
<add name="Documentation"/>
</protocols>
</webServices>
(Get 방식으로도 테스트 하고 싶다면 <add name="HttpGet" /> 을 추가해야 됩니다.)
[실제 서비스에서는 위의 태그를 주석 처리해 주길 바랍니다.]
개인적으로, (제 수준이 낮은 것도 있지만) MS 플랫폼에 보안 헛점을 발견해 본 적은 없었던 것 같습니다. 운영 체제의 보안 헛점을 찾는 다는 것은 사실 쉬운 일이 아니죠. 그나마 MS 가 운영체제에 대한 소스 공개를 한 이후로 버퍼 오버런 같은 것도 급속도로 퍼지긴 했지만 최근 들어서는 많이 줄었습니다.
정말, 찾기 쉽고 오류가 많은 곳은, 실제 업체에서 제작한 Application이 가지고 있는 보안 헛점입니다.