Назад | Перейти на главную страницу

Какие проблемы с безопасностью смягчаются этой архитектурой .NET?

Учитывая следующий физический макет для веб-приложения .NET:

  1. БД (sql server, windows) - нет общедоступного маршрута (нет доступа к таблице, только сохраненные процессы)

  2. DAL веб-службы (iis, windows) - нет общедоступного маршрута (может быть доступен веб-сервер через порт 80 и 443)

  3. Веб-сервер (iis, windows) - общедоступный маршрут (только через порт 80 и 443)

Какие типы / примеры атак могут быть использованы для компрометации общедоступного веб-сервера, но будут заблокированы DAL веб-службы? т.е. можете ли вы придумать конкретные типы атак, которые останавливает DAL?

Обратите внимание, мне интересно только в аспекте безопасности, а не масштабирования / отказоустойчивости / производительности и т. д.

На мой взгляд, если веб-сервер был взломан с помощью атаки через порт 80/443, то такая же атака будет работать через порт 80/443 в DAL-поле веб-службы.

Вы получаете возможность исключать все входящие запросы (на втором сервере - уровень веб-сервисов), кроме запросов от определенных IP-адресов - обычно только тех, которые связаны с общедоступным веб-сервером.

В этой конфигурации атаки на второй сервер необходимо проводить на третьем сервере.

Невозможно получить контроль над третьим сервером, а затем использовать его для атак, но это значительно сложнее, чем атаковать с независимой машины.