1
从我的理解:如果你没有MEX端点/ WSDL,你的服务基本上是不可发现的。只有了解您的数据合同的人才能够使用您的服务。WCF服务w/BasicHttpBinding没有MEX端点可以被绝对陌生人利用?
请问这种说法站得住脚,还是有办法在互联网的恶意居民们找出如何来调用没有MEX端点/消费服务?
编辑:正如安德鲁指出,这一战略不应该被认为是真正的安全。我更想知道在外部消费者的QA阶段是否可以安全地随机滥用。
A
回答
2
取决于您的安全定义。这是一个默默无闻的安全情况,这对您的个人做清单服务可能很好,但对于金融应用程序来说却不可接受。
SOAP等不是/复杂的,所以黑客可以猜测一些输入是不是不可能的,尽管取决于服务,它可能是不太可能的(甚至在数学上不可行)。但是,如果您分发可能被反向设计的客户端,或者如果有人设法嗅探您的服务的合法使用,那么他们几乎肯定会利用它?
2
人们(黑客)使用端口嗅探器来查找有东西在聆听的端口。然后他们开始用数据进行探测并查看返回的结果。找出这是一个需要SOAP消息的端口并不需要太多工作。基本上返回的错误会告诉你很多。因此,默默无闻的安全性根本就不是安全的,你也可以发布URL。
的MEX一部分,只是有帮助别人创造的服务合同,从来没有要求。以REST或JSON服务为例,没有MEX端点的概念。
相关问题
- 1. WCF读取MEX端点WSDL
- 2. WCF mex端点类型是否必须与服务端点类型相匹配?
- 3. 引用没有mex绑定的WCF服务
- 4. WCF多点服务端点
- 5. 服务可以有多个端点吗?
- 6. 可以WCF服务合同也被别人(NHibernate的asp.net)
- 7. 默认wcf服务应用程序没有定义端点
- 8. 404 WCF RIA服务端点
- 9. WCF RIA服务;类没有在客户端生成
- 10. 从WCF服务中删除.svc导致没有发现端点
- 11. “没有兼容TransportManager发现”为的net.tcp WCF服务错误(MEX端点)在IIS 7
- 12. MongoDB objectID陌生人错误
- 13. WCF - net.tcp://..../Querier.svc没有端点监听,可以接受该消息
- 14. Kubernetes“没有端点可用于服务”kube-dns“”
- 15. WCF服务可以有多少个ServiceContracts?
- 16. WCF服务是否必须为每个服务都有一个MetaDataExchange端点,或者我可以只有一个?
- 17. 是否有可能拥有处理多个MSMQ端点的通用WCF服务?
- 18. RESTful Web服务端点没有发现
- 19. 节点服务器端没有从this.http.delete
- 20. Web服务 - 没有端点监听
- 21. WCF服务客户端生命周期
- 22. 在Windows 2008的Windows服务中托管WCF(mex endpoint)服务
- 23. WP7 + WCF服务:没有终点的(URL)听,可以接受该消息
- 24. WCF服务没有响应
- 25. 是否可以仅在WCF服务中的一个端点上应用认证?
- 26. WCF文件服务器中的端点
- 27. 带Appfabric Service Bus端点的WCF服务
- 28. 在WCF服务中公开webHttpBinding端点
- 29. 如何更改WCF服务端点?
- 30. WCF服务库端点未找到POST
我完全理解你对它提供的安全级别所说的话。 – 2009-09-23 15:45:13