ASP.NET - 黑客死亡的黄色屏幕
con*_*att 7 asp.net security yellow-screen-of-death
在我读过的一些书中,据说隐藏黄色死亡屏幕(显然)很好,但不仅仅是因为它对用户来说是非正式的,而且因为黑客可以使用破解您网站的信息.
我的问题是这个.黑客如何使用这些信息?.NET调用堆栈的基本操作的调用堆栈如何帮助黑客?
我附上了我在很久以前创建的一个网站上遇到的黄色死亡屏幕,这引起了我的兴趣.(错误是它在尝试将查询字符串参数强制转换为int时失败.是的,我知道它的错误代码,我多年前写过它;)
如果您正在编写安全代码,YSOD 不应为黑客提供破解您的应用程序的能力。但是,如果您的代码不安全,那么 YSOD 可以向攻击者提供必要的信息,以允许他们进行攻击。
举例来说,您已经编写了自己的论坛软件。您已经对用户撰写帖子时进行了大量验证以防止 XSS 攻击等,但您的验证是错误的。如果黑客在发帖时可以调出 YSOD,那么显示的堆栈跟踪可能会向他们显示验证中的漏洞,并利用它们来创建 XSS 攻击或获取会员详细信息或密码等。
YSOD 本身不构成威胁,但对于黑客来说,它是查找应用程序安全缺陷的非常有用的方法。
| 归档时间: |
|
| 查看次数: |
3118 次 |
| 最近记录: |