假设我们在https://mycompany.com/Service之上托管了一些网络服务 例如 https://mycompany.com/Service/Service1 https://mycompany.com/Service/Service2 https://mycompany.com/Service/Service3
正如您在mycompany.com上看到的,我们已经托管了3个Web服务,每个服务都有不同的URL。 我们拥有的是一个Jboss实例,其中部署了3个不同的Web战争。当某人点击服务时,它会通过我们的防火墙,然后负载均衡器重定向到需要路径上的端口8080上的Jboss,然后就会得到服务。
3个服务由3个不同的客户端使用。我的问题是,如果Client1使用服务1只给出了与之对应的网址,他们是否可以使用某种扫描程序,也可以通知他们mycompany.com/Service上也可以使用Service2和Service3?
无论客户端如何 - 任何人都可以使用某种扫描工具来识别主机上公开的服务端点吗? 请注意,它们是在同一个Jboss实例上部署的SOAP(WSDL)和基于Rest的服务的混合。
答案 0 :(得分:0)
是的,有人可以扫描这些端点。他们的扫描程序会在您的日志中生成一堆404,因为它必须猜测其他URL。如果您有某种速率限制防火墙,可能需要很长时间。你应该定期检查日志。
如果您将自己的网址暴露给公共互联网,那么依靠没有找到它的人只是通过默默无闻的安全措施。您应该使用应用程序级安全性来保护每个URL,并且假设坏人已经拥有该URL。
您可能需要考虑为单独的应用程序添加子域(例如service1.mycompany.com,service2.mycompany.com) - 这将使防火墙更容易。