Учитывая следующий физический макет для веб-приложения .NET:
БД (sql server, windows) - нет общедоступного маршрута (нет доступа к таблице, только сохраненные процессы)
DAL веб-службы (iis, windows) - нет общедоступного маршрута (может быть доступен веб-сервер через порт 80 и 443)
Веб-сервер (iis, windows) - общедоступный маршрут (только через порт 80 и 443)
Какие типы / примеры атак могут быть использованы для компрометации общедоступного веб-сервера, но будут заблокированы DAL веб-службы? т.е. можете ли вы придумать конкретные типы атак, которые останавливает DAL?
Обратите внимание, мне интересно только в аспекте безопасности, а не масштабирования / отказоустойчивости / производительности и т. д.
На мой взгляд, если веб-сервер был взломан с помощью атаки через порт 80/443, то такая же атака будет работать через порт 80/443 в DAL-поле веб-службы.
Вы получаете возможность исключать все входящие запросы (на втором сервере - уровень веб-сервисов), кроме запросов от определенных IP-адресов - обычно только тех, которые связаны с общедоступным веб-сервером.
В этой конфигурации атаки на второй сервер необходимо проводить на третьем сервере.
Невозможно получить контроль над третьим сервером, а затем использовать его для атак, но это значительно сложнее, чем атаковать с независимой машины.