уязвимость сайта 2 - web.config на IIS7 - вопрос №105649

в целом картина ясна — уязвимость будет.

теперь стало интересно — на сколько критичная?

что можно извлечь с сайта опубликованного с отладочным кодом, в web.config разрешена отладка, на сервере IIS провайдера не разрешена. в web.config разрешено чтение метаданных WCF сервисов. на сайте публикуются SilverLight приложения без обфускации кода.

11.08.11
1 ответ

Лучший ответ по мнению автора

1 — попробуй проверить позволяет ли хостер скачать модуль если известно его имя, если нет — то все скорее всего не так уж плохо

2 — разрешенная отладка в web.config, в случае ошибок выдаст стек вызова — а это может быть довольно илюстративно об архитектуре серверной части, особенно при использовании общедоступных библиотек

3 — отладочная версия кода скорее всего повлияет только на быстродействие

4 — метаданные сервиса — это возможность построения своего клиента и программная работа с сервисом. если это не входит в планы — это уязвимость

5 — ксапы без обфускации — тем более

… вообще весь вопрос в том а что на сервере? какая информация? если платная инфа ли услуга — интерес к взлому будет пропоционален ценности инфы… а если еще учетные и/или платежные данные клиентов — тем более… харктер хранимой информации довольно легко оценить сделав «контрольную закупку» — в смысле зарегистрировашись под видом клиента и поэксплуатировав систему — вполне можно оценить больше чем официально расскажет клиенту разработчик

06.09.11
Лучший ответ по мнению автора

Глеб Черняк

от 55 p.
Сейчас на сайте
Читать ответы

Виталий

от 100 p.
Читать ответы

Олег Николаевич

от 50 p.
Читать ответы
Посмотреть всех экспертов из раздела Технологии
Пользуйтесь нашим приложением Доступно на Google Play Загрузите в App Store