1. Dom
  2. Pytanie i odpowiedź
  3. Jaka jest różnica między <deployment retail = "true"> a debug = "false"?

Jaka jest różnica między <deployment retail = "true"> a debug = "false"?

2011-07-28 10 views
6

Mamy kilka stron internetowych/aplikacji z debug = "true" w ich plikach web.config.Jaka jest różnica między <deployment retail = "true"> a debug = "false"?

Chcemy to zmienić na poziomie serwera detalicznych = „true”, jak opisano here

Jednak te strony nadal odpowiedzieć na czasownika http DEBUG z 200, która jest co najmniej jedna różnica .

Chciałbym wiedzieć, czy jest to tylko jeden lub jeśli istnieją inne (być może bardziej niebezpieczny) implikacje opierając się na sprzedaży detalicznej = „true”

Istnieją pewne podobne pytanie here, ale nie ma jednoznacznej odpowiedzi na pytanie, które zadaję.

Źródło

2011-07-28 Kram

Odpowiedz

5

Tryb detaliczny zdecydowanie wyłącza tryb debugowania. Wyłącza także śledzenie i ustawia błędy niestandardowe - widzisz to? Czy miałeś ponowne uruchomienie? W jaki sposób wydajesz prośbę o debugowanie?

Źródło

2011-07-29 09:19:30

+0

Tak, wydaje się ... tak jak powiedziałem, znalazłem (no, właściwie, że firma testująca penetrację, którą zatrudniliśmy) znalazła ją), że nawet w trybie detalicznym, czasowniki DEBUG są nadal potwierdzane przez aplikacje z debugowaniem = "true "w ich konfiguracji ... i naprawdę chciałem ustalić, czy jest to różnica * jedyna. Jeśli * to *, to mogę być pewny, że jesteśmy * tak * tak bezpieczni, jak gdybyśmy mieli debug = "false" w naszej konfiguracji (i proszę nie pytać "dlaczego nie ustawisz debug =" false "w twoja konfiguracja !!!!!!!) – Kram

+0

Cholera, chciałem powiedzieć, że powinieneś spróbować wyłączyć to w Web.config i zobaczyć, jaki masz wynik, ale mam też wrażenie, że sam tego nie przetestowałeś - Czy potrafisz odtworzyć to, o czym mówią ludzie, których używasz do testowania pióra, samemu używając żądania debugowania? A, na marginesie, nie znalazłem prawdziwej luki w zabezpieczeniach przed uruchomieniem w trybie debugowania: http: // security. stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –

+0

Rzeczywiście wypróbowałem wszystkie kombinacje, ale nie znam * pełnej listy * "features", które są włączone, gdy debug = "true" jest określony ... w przeciwnym razie mógłbym sprawdzić, który z nich jest wyłączony, gdy retail = "true" jest określony ... wszyscy wiedzą, że ten jest inny niż ja " wspomniałem, że d, że ludzie z Pen testują, ale są oni niejasni co do implikacji, sugerując, że mamy włączone debugowanie i że może przeciekać zasoby lub kodować ... jednak próbuję przekonać być, że * nie * mamy włączone debugowanie, gdy retail = "true" – Kram

Powiązane problemy

 Powiązane problemy