मैं एक "वेब एप्लिकेशन सुरक्षा" कंपनी से एक रिपोर्ट पढ़ रहा हूं, जो कंपनी के कुछ वेबसाइटों को स्कैन कर रहा है, जिसके लिए मैं काम कर रहा हूं। जो किसी भी मानव की भागीदारी के बिना लिखा लगता है - - यह रिपोर्ट से लगता है कि कई प्रयास किए गए, जहां इस तरह के अनुरोधों का उपयोग कर हमारी साइटों तोड़ने के लिए:एएसपी.NET/IIS में उपयोग किए जाने वाले गैर मानक HTTP क्रिया "DEBUG" क्या है?
DEBUG /some_path/some_unexisting_file.aspx
Accept: */*
More-Headers: ...
हमारे सर्वर से परिणाम मुझे तो हैरानी:
HTTP/1.1 200 OK
Headers: ...
DEBUG
HTTP 1.1 specification में कहीं भी उल्लेख नहीं किया गया है, तो मुझे परिणाम 400 Bad Request
या 405 Method Not Allowed
होने की उम्मीद होगी।
earlier question on SO से, मैंने सीखा है कि DEBUG
क्रिया का उपयोग एएसपी.NET अनुप्रयोगों के किसी प्रकार के रिमोट डीबगिंग में किया जाता है, लेकिन उस प्रश्न या उसके उत्तरों में कई विवरण उपलब्ध नहीं हैं।
वास्तव में DEBUG
क्रिया का उपयोग करने के लिए क्या उपयोग किया जाता है? इस क्रिया का उपयोग करते समय अमान्य URL के लिए एप्लिकेशन 200 OK
का उत्तर क्यों देता है? क्या यह एक सुरक्षा समस्या है? क्या DEBUG
क्रिया के आस-पास कोई संभावित सुरक्षा समस्या है, कि एएसपी.नेट डेवलपर्स/सिस्टम प्रशासकों को अवगत होना चाहिए?
कोई अंतर्दृष्टि/सलाह/संदर्भों की सराहना की जाएगी।
क्या आपने इसे हल करने का प्रबंधन किया था? मुझे लगता है कि आपने एक जवाब स्वीकार कर लिया है, लेकिन यह आपको केवल नेटवर्क स्नफ़फर का उपयोग करने के लिए बताता है। यहां तक कि जब यह 6 साल बाद की तरह है। – Rob