没有MEX端点的WCF服务是否可以被完全陌生的人利用？

据我所知：如果您没有MEX端点/WSDL，那么您的服务基本上是不可发现的。只有了解您的数据合同的人才能使用您的服务

这个断言是否成立，或者互联网上的恶意居民是否有办法找出如何调用/使用没有MEX端点的服务

---

编辑：正如安德鲁指出的，这种策略不应该被认为是真正安全的。我想知道的是，在QA阶段与外部消费者进行交流时，它是否安全，不会被随意滥用

取决于您对安全的定义。这是一个默默无闻的安全案例，这可能对你的个人待办事项列表服务是好的，但对金融应用程序来说是不可接受的

---

SOAP etc并不复杂，因此黑客猜测某些输入并非不可能，尽管根据服务的不同，这可能非常不可能，甚至在数学上是不可行的。但是，如果您分发一个可以进行反向工程的客户端，或者如果有人设法对您的服务的合法使用进行数据包嗅探，那么他们几乎肯定会利用它进行攻击？

取决于您对安全的定义。这是一个默默无闻的安全案例，这可能对你的个人待办事项列表服务是好的，但对金融应用程序来说是不可接受的

---

SOAP etc并不复杂，因此黑客猜测某些输入并非不可能，尽管根据服务的不同，这可能非常不可能，甚至在数学上是不可行的。但是，如果您分发一个可以进行反向工程的客户端，或者如果有人设法对您的服务的合法使用进行数据包嗅探，那么他们几乎肯定会利用它进行攻击。

黑客使用端口嗅探器查找有人监听的端口。然后他们开始用数据探测，看看会有什么结果。不需要做很多工作就可以确定这是一个需要SOAP消息的端口。基本上，返回的错误将告诉您同样多的信息。因此，默默无闻没有安全性就根本没有安全性，您不妨发布URL

---

MEX部分仅用于帮助其他人创建服务合同，而不是需求。以REST或JSON服务为例，没有MEX端点的概念。

黑客使用端口嗅探器查找有东西在监听的端口。然后他们开始用数据探测，看看会有什么结果。不需要做很多工作就可以确定这是一个需要SOAP消息的端口。基本上，返回的错误将告诉您同样多的信息。因此，默默无闻没有安全性就根本没有安全性，您不妨发布URL

---

MEX部分仅用于帮助其他人创建服务合同，而不是需求。以REST或JSON服务为例，没有MEX端点的概念。

我完全理解您对其提供的安全级别的看法。我完全理解您对其提供的安全级别的看法。