9
Có rất nhiều lý do hiệu suất tại sao các ứng dụng không nên chạy trong chế độ gỡ lỗi = "true" (good rundown from Scott Gu), nhưng có bất kỳ vector tấn công nào được tiếp xúc bởi thực tiễn này không? Nó không phải là một câu hỏi về "bạn nên hay không nên bạn", điều đó là rõ ràng, đó là câu hỏi liệu nó có đưa ra bất kỳ lỗ hổng cụ thể nào không.Có rủi ro bảo mật khi chạy các ứng dụng web trong debug = "true" không?
Tôi có khuynh hướng nghĩ rằng khả năng remotely detect it kết hợp với các vấn đề hiệu suất đã biết có thể dẫn đến việc khai thác dựa trên tính khả dụng của dịch vụ nhưng tôi muốn một điều gì đó rõ ràng hơn một chút. Có ai biết về một cuộc tấn công cụ thể có thể được phối hợp với một ứng dụng đang chạy debug = "true" không?
Tại sao không hỏi điều này trên [SecuritySE] (http://security.stackexchange.com/)? – AviD
Điểm tốt, tôi đã không đặt ở đó ban đầu như tôi nghĩ rằng tôi muốn nhận được câu trả lời ở đây. Tôi đã gửi một bản sao qua: http://security.stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –
Tôi đã thấy các chuỗi kết nối ĐẦY ĐỦ (bao gồm cả mật khẩu) tiếp xúc trong quá khứ, nơi ứng dụng đang chạy trong chế độ gỡ lỗi, Lỗi tùy chỉnh bị tắt và kết nối không thành công - trong trường hợp này không phải do sự cố với máy chủ cơ sở dữ liệu, nhưng khi một máy chủ khác hoạt động như máy chủ DNS duy nhất cho máy chủ đã ngừng hoạt động. Kích hoạt chế độ gỡ lỗi làm tăng đáng kể nguy cơ tiết lộ thông tin ứng dụng nội bộ nhạy cảm, nhưng sau đó bạn đã biết điều đó. Tôi thích sự tương tự với các sự cố không phải do một sự kiện gây ra, mà là một chuỗi kết hợp để đưa ra kết quả (thường là bi thảm). – pwdst