1
從我的理解:如果你沒有MEX端點/ WSDL,你的服務基本上是不可發現的。只有瞭解您的數據合同的人才能夠使用您的服務。WCF服務w/BasicHttpBinding沒有MEX端點可以被絕對陌生人利用?
請問這種說法站得住腳,還是有辦法在互聯網的惡意居民們找出如何來調用沒有MEX端點/消費服務?
編輯:正如安德魯指出,這一戰略不應該被認爲是真正的安全。我更想知道在外部消費者的QA階段是否可以安全地隨機濫用。
A
回答
2
取決於您的安全定義。這是一個默默無聞的安全情況,這對您的個人做清單服務可能很好,但對於金融應用程序來說卻不可接受。
SOAP等不是/複雜的,所以黑客可以猜測一些輸入是不是不可能的,儘管取決於服務,它可能是不太可能的(甚至在數學上不可行)。但是,如果您分發可能被反向設計的客戶端,或者如果有人設法嗅探您的服務的合法使用,那麼他們幾乎肯定會利用它?
2
人們(黑客)使用端口嗅探器來查找有東西在聆聽的端口。然後他們開始用數據進行探測並查看返回的結果。找出這是一個需要SOAP消息的端口並不需要太多工作。基本上返回的錯誤會告訴你很多。因此,默默無聞的安全性根本就不是安全的,你也可以發佈URL。
的MEX一部分,只是有幫助別人創造的服務合同,從來沒有要求。以REST或JSON服務爲例,沒有MEX端點的概念。
相關問題
- 1. WCF讀取MEX端點WSDL
- 2. 如何從WCF服務公開多個MEX端點?
- 3. WCF服務沒有終點
- 4. WCF mex端點類型是否必須與服務端點類型相匹配?
- 5. 何時使用wcf mex端點
- 6. 生產服務器上的WCF端點
- 7. 引用沒有mex綁定的WCF服務
- 8. WCF服務沒有被調用
- 9. WCF多點服務端點
- 10. 服務可以有多個端點嗎?
- 11. 可以WCF服務合同也被別人(NHibernate的asp.net)
- 12. 默認wcf服務應用程序沒有定義端點
- 13. 在客戶端生成wcf端點的服務引用
- 14. 如何確保MEX端點WCF
- 15. WCF Web服務MSMQ端點
- 16. 404 WCF RIA服務端點
- 17. 有沒有辦法迭代潛在的WCF服務器端點?
- 18. WCF RIA服務;類沒有在客戶端生成
- 19. 從WCF服務中刪除.svc導致沒有發現端點
- 20. 「沒有兼容TransportManager發現」爲的net.tcp WCF服務錯誤(MEX端點)在IIS 7
- 21. 端點沒有發現WCF
- 22. WCF - 沒有端點監聽
- 23. 從現有API自動生成服務器端WCF服務
- 24. MongoDB objectID陌生人錯誤
- 25. 陌生人例外:android.content.res.Resources $ NotFoundException
- 26. WCF - net.tcp://..../Querier.svc沒有端點監聽,可以接受該消息
- 27. WCF服務(.NET 4.0)可以有一個.NET 2.0客戶端?
- 28. 服務器已拒絕客戶端憑據,雙工wcf服務
- 29. WCF服務可以有多少個ServiceContracts?
- 30. Kubernetes「沒有端點可用於服務」kube-dns「」
我完全理解你對它提供的安全級別所說的話。 – 2009-09-23 15:45:13