据我了解:如果您没有 MEX 端点/WSDL,您的服务基本上是不可发现的。只有了解您的数据合同的人才能使用您的服务。
这个断言是否成立,或者是否有办法让互联网的恶意居民弄清楚如何调用/使用没有 MEX 端点的服务?
编辑:正如安德鲁指出的那样,这种策略不应该被认为是真正安全的。我想知道更多关于在与外部消费者的 QA 阶段是否可以避免随机滥用。
问问题
1289 次
2 回答
2
取决于您对安全的定义。这是一个默默无闻的安全案例,这对于您的个人待办事项列表服务可能很好,但对于财务应用程序来说是不可接受的。
SOAP 等并不/那么/复杂,因此黑客猜测某些输入并非不可能,尽管取决于服务,它可能非常不可能(甚至在数学上也不可行)。但是,如果您分发的客户端可以进行逆向工程,或者如果有人设法对您的服务的合法使用进行分组嗅探,那么他们几乎肯定可以利用它?
于 2009-09-23T15:33:02.357 回答
2
人们(黑客)使用端口嗅探器来查找有监听的端口。然后他们开始用数据探测它,看看有什么结果。不需要太多工作就可以确定这是一个需要 SOAP 消息的端口。基本上返回的错误会告诉你很多。因此,默默无闻的安全性根本就没有安全性,您不妨发布 URL。
MEX 部分仅用于帮助其他人创建服务合同,而不是要求。以 REST 或 JSON 服务为例,没有 MEX 端点的概念。
于 2009-09-23T16:57:29.043 回答