爲什麼應用程序不能在debug =「true」模式下運行(good rundown from Scott Gu),有很多性能原因,但是這種做法是否暴露了任何攻擊媒介?這不是「你應該或不應該你」的問題,很明顯,這是一個問題,它是否會引入任何特定的漏洞。在debug =「true」中運行web應用程序是否存在安全風險?
我傾向於認爲remotely detect it與已知性能問題相結合的能力可能會導致對服務可用性的利用,但我希望得到更明確一些的東西。有誰知道可以針對運行debug =「true」的應用程序編排特定的攻擊嗎?
爲什麼不在[SecuritySE](http://security.stackexchange.com/)上提問? – AviD 2010-12-12 08:44:38
好點,我沒有放在那裏,因爲我想我會在這裏得到答案。我已經發送了一份副本:http://security.stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true – 2010-12-16 00:58:02
我已經看到完整的連接字符串(包括密碼)在過去的應用程序在Debug模式下運行時,Custom Errors已關閉,連接失敗 - 在這種情況下,不是因爲數據庫服務器出現問題,而是因爲另一臺服務器充當了唯一的DNS服務器主機退役了。啓用調試模式會大大增加敏感內部應用程序信息泄露的風險,但您已經知道這一點。我喜歡類似的事件,而不是由一個事件引起的崩潰,而是一系列結合起來(通常是悲劇性的)結果。 – pwdst 2013-10-23 13:20:04