Czytam raport z firmy "ochrona aplikacji internetowych", która skanowała kilka stron internetowych firmy, nad którą pracuję. Jak wynika z raportu - który wydaje pisemną bez udziału człowieka - że kilka prób, gdzie wykonane złamać nasze strony za pomocą żądań tak:Jaki jest niestandardowy czasownik HTTP "DEBUG" używany w ASP.NET/IIS?
DEBUG /some_path/some_unexisting_file.aspx
Accept: */*
More-Headers: ...
Wynik z naszego serwera zaskakuje mnie:
HTTP/1.1 200 OK
Headers: ...
Ponieważ DEBUG
nie wydaje się być nigdzie w nazwie w HTTP 1.1 specification, oczekiwałbym, że wynik będzie 400 Bad Request
lub 405 Method Not Allowed
.
Od earlier question on SO, nauczyłem się, że czasownik DEBUG
jest używany do pewnego zdalnego debugowania aplikacji ASP.NET, ale w tym pytaniu lub jego odpowiedziach nie ma zbyt wielu szczegółów.
Dokładnie jaki jest czasownik DEBUG
używany? Dlaczego aplikacja używa adresu 200 OK
w przypadku nieprawidłowych adresów URL? Czy to jest problem z bezpieczeństwem? Czy są jakieś potencjalne problemy bezpieczeństwa związane z czasownikiem DEBUG
, o którym powinni wiedzieć deweloperzy/administratorzy systemów ASP.NET?
Wszelkie uwagi/porady/referencje zostaną docenione.
Udało ci się to rozwiązać? Widzę, że zaakceptowałeś odpowiedź, ale mówi ci tylko, abyś użył sniffera sieciowego. Nawet gdy jest to 6 lat później. – Rob