6
在他們的web.config文件中,我們擁有一大堆debug =「true」的網站/應用程序。<deployment retail =「true」>和debug =「false」有什麼區別?
我們想在零售=「真」服務器級別覆蓋此,所描述的here
然而,這些網站仍然到HTTP DEBUG動詞用200,這至少是一個差異響應。
我想知道,如果這是唯一的或者有其他(也許更不安全)依靠零售的影響=「真」
有一些類似的問題here,但沒有明確的答案我問的問題。
是的,它似乎......正如我所說的,我發現(事實上,我們已經找到了滲透測試公司)發現,即使在零售模式下,DEBUG動詞仍然被debug =「true 「在他們的配置中...我真的很想確定這是否是唯一的區別。如果它*是*,那麼我可以確定我們*就像在我們的配置中調試=「false」一樣安全(並且請沒有人問「爲什麼不在debug =」false「中設置debug你的配置!!!!!!! – Kram
該死的,我想說你應該嘗試在Web.config中關閉它,看看你得到了什麼結果,但我也得到了你沒有自己測試過的印象 - 您是否可以通過自己的調試請求重現您的鋼筆測試人員所說的話?您是否重新啓動了?請注意,我還沒有找到在調試模式下運行的實際漏洞:http:// security。 stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –
我確實嘗試過所有的組合,但是我沒有意識到完整的列表*當debug =「true」被指定時,啓用「功能」的功能......否則,當我指定零售=「真」時,我可以檢查其中哪些被禁用......所有這些都是知道的,已經提到,一個d筆測試人員已經指出......但是,他們對含義含糊不清,暗示我們已經開啓了調試並且它可能會泄露資源或代碼......但是,我試圖說服那些權力是我們*不*在零售=「true」時打開調試 – Kram