Я читаю отчет от компании "Безопасность веб-приложений", которая просматривает несколько веб-сайтов компании, над которой я работаю. Из отчета, который, как представляется, написано без какой-либо человеческой заинтересованности, видно, что было предпринято несколько попыток разбить наши сайты с использованием таких запросов:
DEBUG /some_path/some_unexisting_file.aspx
Accept: */*
More-Headers: ...
Результат от нашего сервера удивляет меня:
HTTP/1.1 200 OK
Headers: ...
Как DEBUG
, кажется, нигде не упоминается в Спецификация HTTP 1.1 Я ожидал, что результатом будет 400 Bad Request
или 405 Method Not Allowed
.
Из более раннего вопроса о SO, я узнал, что глагол DEBUG
используется в виде удаленной отладки приложений ASP.NET, но не так много деталей доступны в этом вопросе или его ответах.
Точно, для чего используется глагол DEBUG
? Почему приложение отвечает 200 OK
за недопустимые URL-адреса при использовании этого глагола? Это проблема безопасности? Существуют ли какие-либо потенциальные проблемы безопасности, связанные с глаголом DEBUG
, о которых должны знать разработчики/системные администраторы ASP.NET?
Любые идеи/рекомендации/ссылки будут оценены.