ASP.NET跟踪启用

描述：启用ASP.NET跟踪

ASP.NET跟踪是一项调试功能，旨在在开发过程中使用以帮助解决问题。它向用户披露敏感信息，如果在生产环境中启用，可能会带来严重的安全威胁。

应用程序级跟踪使任何用户都能检索有关应用程序最近请求的完整详细信息，包括其他用户。此信息通常包括会话令牌和请求参数，这可能使攻击者能够妥协其他用户，甚至可以控制整个应用程序。

页面级跟踪返回相同的信息，但仅与当前请求有关。这可能仍然包含会话中的敏感数据和对攻击者的服务器变量。

修复：启用ASP.NET跟踪

要禁用跟踪，请打开应用程序的Web.config文件，并在beplay体育能用吗 e节中找到元素。将启用属性设置为“ false”（禁用跟踪），或将局部属性设置为“ true”（仅在服务器本身上进行跟踪）。

请注意，即使以这种方式禁用跟踪，各个页面也可以打开ASP.NET页面页面指令中的页面级跟踪，或通过应用程序代码编程。如果仅在某些应用程序页面上观察到跟踪输出，则应查看页面源和背后的代码，以找到出现跟踪的原因。

强烈建议您参考与此问题有关的平台文档，并且不仅依赖上述补救措施。

参考

• beplay体育能用吗网络安全学院：信息披露

脆弱性分类

• CWE-10：ASP.NET环境问题
• CWE-11：ASP.NET错误配置：创建调试二进制
• CAPEC-37：检索嵌入式敏感数据

典型的严重程度

高的

类型索引（HEX）

0x00100280

类型索引（十进制）

1049216