ASP.NET / IIS Remote Debugging-DEBUG verb

Juste pour être complet, la consolidation ici les réponses de quel-est-le-non-standard-http-verbe-debug-utilisé-pour-en-asp-net-iis : (merci @Mark, @Jørn).

http://support.microsoft.com/kb/937523

lorsque le client essaie de attachez le débogueur dans un ASP.NET 2,0 application, le client envoie un HTTP demande qui contient le verbe DEBUG. Cette requête HTTP est utilisée pour vérifier que le processus de l'application est en cours d'exécution et de choisir la bonne processus pour fixer.

le verbe DEBUG est utilisé pour démarrer/arrêter les sessions de débogage à distance. Plus précisément , une requête DEBUG peut contenir un en-tête de commande de valeur start-debug et stop-debug , mais le débogage proprement dit se fait via un protocole RPC.

il utilise l'authentification Windows, et DCOM à en fait, faites le débogage (évidemment, si vous autorisez le trafic RPC, alors vous avez de plus gros problèmes) ou de tous les exploits. UrlScan le bloque par défaut.

cependant, ASP.NET site Web avec les requêtes DEBUG peut être utilisé pour révéler si le web.config a <compilation debug="true"> . Le test peut être effectué avec telnet, WFetch ou similaire, en envoyant une requête comme celle-ci:

DEBUG /foo.aspx HTTP/1.0
Accept: */ *
Host: www.example.com
Command: stop-debug

selon que le débogage est activé ou non, vous obtiendrez 200 OK ou 403 Forbidden .

il est généralement accepté que vous ne devriez jamais avoir <compilation debug="true"/> dans un environnement de production, car il a de graves implications sur la performance du site. Je ne suis pas sûr que le fait d'avoir le débogage activé ouvre de nouveaux vecteurs d'attaque, à moins que le trafic RPC ne soit aussi activé, auquel cas vous avez des problèmes plus sérieux de toute façon.