CWE ID: 11
Name: ASP.NET Misconfiguration: Creating Debug Binary
Debugging messages können Angreifern Informationen über das System liefern und ihnen bei der Planung eines Angriffs helfen. Die Enthaltung von detaillierten Fehlermeldungen in der production environment ist daher ein wichtiger Aspekt der security hardening. Es ist ratsam, in der production lediglich generische Meldungen auszugeben, um die Angriffsfläche zu minimieren und die reverse engineering zu erschweren.
ASP.NET Anwendungen können so konfiguriert werden, dass sie debug binaries erzeugen. Diese Binärdateien enthalten detaillierte debugging messages und sollten nicht in production environments verwendet werden. Debug binaries sind für die Verwendung in einer Entwicklungs- oder Testumgebung vorgesehen und stellen ein Sicherheitsrisiko dar, wenn sie in der production bereitgestellt werden. Die Verwendung von release builds ist in der production unerlässlich, um die Sicherheit zu gewährleisten und die Angriffsfläche zu minimieren.
Effektivität: Unknown
Beschreibung: Vermeiden Sie die Freigabe von debug binaries in der production environment. Ändern Sie den debug mode auf false, wenn die Anwendung in die production bereitgestellt wird. Stellen Sie sicher, dass die build configuration auf release eingestellt ist, um potenzielle Sicherheitslücken zu vermeiden.
Das Attribut debug des <compilation>-Tags definiert, ob kompilierte binaries Debugging-Informationen enthalten sollen. Die Verwendung von debug binaries führt dazu, dass eine Anwendung dem Benutzer so viele Informationen über sich selbst preisgibt, wie möglich. Dies kann ein erhebliches security risk darstellen.
