Estoy leyendo un informe de una empresa de "seguridad de aplicaciones web", que ha estado escaneando algunos sitios web de la empresa para la que estoy trabajando. Se desprende del informe - que parece estar escrito sin ninguna intervención humana - que varios intentos donde hecho para romper nuestros sitios utilizando demandas como éste:¿Para qué se utiliza el verbo HTTP no estándar "DEBUG" en ASP.NET/IIS?
DEBUG /some_path/some_unexisting_file.aspx
Accept: */*
More-Headers: ...
El resultado de nuestro servidor me sorprende:
HTTP/1.1 200 OK
Headers: ...
Como DEBUG
no parece mencionarse en ningún lugar en el HTTP 1.1 specification, esperaba que el resultado fuera 400 Bad Request
o 405 Method Not Allowed
.
De earlier question on SO, he aprendido que el verbo DEBUG
se utiliza en algún tipo de depuración remota de aplicaciones ASP.NET, pero no hay muchos detalles disponibles en esa pregunta o sus respuestas.
¿Exactamente para qué se utiliza el verbo DEBUG
? ¿Por qué la aplicación responde 200 OK
para URL inválidas cuando se usa este verbo? ¿Es esto un problema de seguridad? ¿Hay algún problema de seguridad potencial que rodee el verbo DEBUG
, que los desarrolladores de ASP.NET/administradores del sistema deben tener en cuenta?
Cualquier información/consejo/referencia será apreciada.
¿Pudo resolver esto? Veo que has aceptado una respuesta, pero solo te dice que uses un sniffer de red. Incluso cuando esto es como 6 años después. – Rob