Y a-t-il un risque de sécurité exécutant des applications Web à Debug = "True"?
Ceci est une copie de la question initiale sur le débordement de pile qui n'a pas eu beaucoup d'amour et est probablement plus pertinente ici:
Il existe de nombreuses raisons de performances pour lesquelles les applications ne devraient pas être exécutées dans le mode debug = "vrai" ( bon ruine de Scott g ), mais existe-t-il des vecteurs d'attaque exposés par cette pratique? Ce n'est pas une question de "si vous devriez-vous ou ne devriez-vous pas non plus", c'est clair, c'est une question de savoir si elle introduit des vulnérabilités spécifiques.
Je suis enclin à penser que la capacité de détecter à distance combinée aux problèmes de performance connus pourrait conduire à une exploitement contre la disponibilité du service, mais j'aimerais quelque chose un peu plus précis. Est-ce que quelqu'un connaît une attaque spécifique qui peut être orchestré contre une application exécutée debug = "vrai"?
En permettant aux attaquants potentiels un accès potentiel au code source, des traces de pile, etc. Il leur permet certainement de se concentrer/d'étranger une attaque contre le système.
Je suppose également (bien que je ne l'ai pas testé) que depuis Débug = true provoque l'erreur de compilation plutôt que le site attendu CustomError, vous pourriez être exposé à la bogue Crypto CustomError.
http://blogs.technet.com/b/srd/archive/2010/09/17/Snerstanding-Le-asp-net-vulnerability.aspx