Ich lese einen Bericht von einer "Web Application Security" Firma, die einige Webseiten der Firma gescannt habe, für die ich arbeite. Es scheint aus dem Bericht -, die ohne menschliches Zutun geschrieben scheint - dass mehrere Versuche gemacht, wo unsere Websites zu brechen diese mit Anfragen wie:Was ist das nicht standardmäßige HTTP-Verb "DEBUG", das in ASP.NET/IIS verwendet wird?
DEBUG /some_path/some_unexisting_file.aspx
Accept: */*
More-Headers: ...
Das Ergebnis von unserem Server überrascht mich:
HTTP/1.1 200 OK
Headers: ...
Da DEBUG
nicht irgendwo in der HTTP 1.1 specification erwähnt zu sein scheint, hätte ich erwartet, dass das Ergebnis 400 Bad Request
oder 405 Method Not Allowed
ist.
Von earlier question on SO, habe ich gelernt, dass das Verb DEBUG
in einer Art Remote-Debuggen von ASP.NET-Anwendungen verwendet wird, aber nicht viele Details sind in dieser Frage oder ihre Antworten verfügbar.
Genau was ist das DEBUG
Verb für verwendet? Warum antwortet die Anwendung bei Verwendung dieses Verbs auf ungültige URLs mit 200 OK
? Ist das ein Sicherheitsproblem? Gibt es potenzielle Sicherheitsprobleme im Zusammenhang mit dem Verb DEBUG
, das ASP.NET-Entwickler/Systemadministratoren kennen sollten?
Alle Einsichten/Hinweise/Referenzen werden geschätzt.
Haben Sie es geschafft, dies zu lösen? Ich sehe, Sie haben eine Antwort akzeptiert, aber Sie werden nur aufgefordert, einen Netzwerk-Sniffer zu verwenden. Auch wenn das 6 Jahre später ist. – Rob