Gegeben sei das folgende physische Layout für eine .NET-Webanwendung:
DB (SQL Server, Windows) – Keine öffentliche Route (kein Tabellenzugriff, nur gespeicherte Prozeduren)
Web Service DAL (IIS, Windows) – Keine öffentliche Route (kann vom Webserver über Port 80 und 443 aufgerufen werden)
Webserver (IIS, Windows) – Öffentliche Route (nur über Port 80 und 443)
Welche Angriffsarten/-beispiele könnten verwendet werden, um den öffentlichen Webserver zu kompromittieren, würden aber vom Web Service DAL blockiert werden? Können Sie sich also konkrete Angriffsarten vorstellen, die vom DAL gestoppt werden?
Bitte beachten Sie, ich bin interessiertnurim Sicherheitsaspekt, nicht in Bezug auf Skalierung/Fehlertoleranz/Leistung usw.
Wenn der Webserver durch einen Angriff über Port 80/443 kompromittiert wurde, könnte meiner Meinung nach derselbe Angriff über Port 80/443 auf die Web Service DAL-Box funktionieren.
Antwort1
Sie erhalten die Möglichkeit, alle eingehenden Anfragen (auf Server zwei – der Webdienstebene) auszuschließen, mit Ausnahme der Anfragen von bestimmten IP-Adressen – normalerweise nur der Anfragen, die mit dem öffentlichen Webserver verknüpft sind.
In dieser Konfiguration müssen Angriffe auf Server zwei auf Server drei durchgeführt werden.
Es ist nicht unmöglich, die Kontrolle über Server drei zu erlangen und ihn dann für Angriffe zu verwenden, es ist jedoch erheblich schwieriger, als von einem unabhängigen Rechner aus anzugreifen.