Дана следующая физическая компоновка веб-приложения .NET:
БД (сервер SQL, Windows) — нет публичного маршрута (нет доступа к таблицам, только сохраненные процедуры)
Веб-сервис DAL (iis, windows) — нет публичного маршрута (доступ к веб-серверу возможен через порты 80 и 443)
Веб-сервер (iis, windows) — публичный маршрут (только через порты 80 и 443)
Какие типы/примеры атак могут быть использованы для компрометации публичного веб-сервера, но будут заблокированы DAL веб-служб? То есть, можете ли вы назвать конкретные типы атак, которые останавливает DAL?
Обратите внимание, мне интереснотольков аспекте безопасности, а не масштабирования/отказоустойчивости/производительности/и т.д.
По моему мнению, если веб-сервер был скомпрометирован с помощью атаки через порт 80/443, то та же самая атака будет работать через порт 80/443 к блоку DAL веб-службы.
решение1
Вы получаете возможность исключить все входящие запросы (на сервере два — на уровне веб-сервисов), за исключением запросов с определенных IP-адресов — обычно только тех, которые связаны с общедоступным веб-сервером.
В этой конфигурации атаки на сервер два необходимо осуществлять на сервере три.
Получить контроль над сервером три, а затем использовать его для проведения атак, возможно, но это значительно сложнее, чем атаковать с независимой машины.