据我所知:如果您没有MEX端点/ WSDL,您的服务基本上是不可发现的。只有了解您的数据合同的人才能使用您的服务。
这个断言是否存在水,或者有没有办法让恶意的互联网居民知道如何调用/使用没有MEX端点的服务?
编辑:正如安德鲁指出的那样,这种策略不应该被认为是真正安全的。我想知道更多的问题是,在与外部消费者的质量保证阶段,是否可以避免随意滥用。答案 0 :(得分:2)
取决于您对安全的定义。这是一个默默无闻的安全案例,对于您的个人待办事项列表服务可能没问题,但对于财务应用程序来说是不可接受的。
SOAP等不是/那么/复杂,所以黑客不可能猜到一些输入,虽然取决于服务,它可能是非常不可能的(甚至在数学上是不可行的)。但是,如果您分发可以进行逆向工程的客户端,或者如果有人设法将数据包嗅探合法使用您的服务,那么他们几乎可以肯定地利用它?答案 1 :(得分:2)
人们(黑客)使用端口嗅探器来查找有收听内容的端口。然后他们开始用数据进行探测,看看会有什么回来。要弄清楚这是一个需要SOAP消息的端口并不需要太多工作。基本上返回的错误会告诉你多少。因此,默默无闻的安全性根本就没有安全性,您也可以发布URL。
MEX部分仅用于帮助其他人创建服务合同,而不是要求。以REST或JSON服务为例,没有MEX端点的概念。