Mamy kilka stron internetowych/aplikacji z debug = "true" w ich plikach web.config.Jaka jest różnica między <deployment retail = "true"> a debug = "false"?
Chcemy to zmienić na poziomie serwera detalicznych = „true”, jak opisano here
Jednak te strony nadal odpowiedzieć na czasownika http DEBUG z 200, która jest co najmniej jedna różnica .
Chciałbym wiedzieć, czy jest to tylko jeden lub jeśli istnieją inne (być może bardziej niebezpieczny) implikacje opierając się na sprzedaży detalicznej = „true”
Istnieją pewne podobne pytanie here, ale nie ma jednoznacznej odpowiedzi na pytanie, które zadaję.
Tak, wydaje się ... tak jak powiedziałem, znalazłem (no, właściwie, że firma testująca penetrację, którą zatrudniliśmy) znalazła ją), że nawet w trybie detalicznym, czasowniki DEBUG są nadal potwierdzane przez aplikacje z debugowaniem = "true "w ich konfiguracji ... i naprawdę chciałem ustalić, czy jest to różnica * jedyna. Jeśli * to *, to mogę być pewny, że jesteśmy * tak * tak bezpieczni, jak gdybyśmy mieli debug = "false" w naszej konfiguracji (i proszę nie pytać "dlaczego nie ustawisz debug =" false "w twoja konfiguracja !!!!!!!) – Kram
Cholera, chciałem powiedzieć, że powinieneś spróbować wyłączyć to w Web.config i zobaczyć, jaki masz wynik, ale mam też wrażenie, że sam tego nie przetestowałeś - Czy potrafisz odtworzyć to, o czym mówią ludzie, których używasz do testowania pióra, samemu używając żądania debugowania? A, na marginesie, nie znalazłem prawdziwej luki w zabezpieczeniach przed uruchomieniem w trybie debugowania: http: // security. stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –
Rzeczywiście wypróbowałem wszystkie kombinacje, ale nie znam * pełnej listy * "features", które są włączone, gdy debug = "true" jest określony ... w przeciwnym razie mógłbym sprawdzić, który z nich jest wyłączony, gdy retail = "true" jest określony ... wszyscy wiedzą, że ten jest inny niż ja " wspomniałem, że d, że ludzie z Pen testują, ale są oni niejasni co do implikacji, sugerując, że mamy włączone debugowanie i że może przeciekać zasoby lub kodować ... jednak próbuję przekonać być, że * nie * mamy włączone debugowanie, gdy retail = "true" – Kram