9
Существует множество причин, по которым приложения не должны запускаться в режиме отладки = «истинный» (good rundown from Scott Gu), но есть ли какие-либо атаки, подверженные этой практике? Речь не идет о «если вы или не должны», это ясно, это вопрос о том, вводит ли он какие-либо конкретные уязвимости.Есть ли риск безопасности веб-приложений в debug = "true"?
Я склонен думать, что способность remotely detect it в сочетании с известными проблемами производительности может привести к эксплойту против доступности сервиса, но я бы хотел кое-что более определенно. Кто-нибудь знает о конкретной атаке, которая может быть организована против приложения, работающего debug = "true"?
Почему бы не спросить об этом на [SecuritySE] (http://security.stackexchange.com/)? – AviD
Хорошо, я не поместил его изначально, так как думал, что получу здесь ответ. Я отправил копию: http://security.stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –
Я видел FULL строки подключения (включая пароли), которые были показаны в прошлом, когда приложение выполнялось в режиме отладки, пользовательские ошибки были отключены, а соединение завершилось неудачно - в этом случае не из-за проблемы с сервером базы данных, а когда другой сервер, выступающий в качестве единственного DNS-сервера для хозяин был выведен из эксплуатации. Включение режима отладки значительно увеличивает риск раскрытия конфиденциальной внутренней информации о приложении, но тогда вы уже это знали. Мне нравится аналогия с авариями, которые не вызваны одним событием, а серия, которая объединяет, чтобы дать (часто трагический) результат. – pwdst