Ci sono problemi di sicurezza che potrebbero sorgere da un errore del server generato da ASP.net e inviato all'utente? Sono a conoscenza dei potenziali problemi derivanti dall'invio di informazioni sensibili nel messaggio di errore, ma quanto può essere grave e ci sono altre vulnerabilità a causa di ciò?
La divulgazione di errori di ASP.NET Server è principalmente un problema di divulgazione di informazioni
Quando ciò accade, stai divulgando informazioni sulla tecnologia in uso. Se sono solo gli errori di default (non quelli prolissi) questo è piuttosto limitato, se è verboso si stanno rivelando tracce dello stack e numeri di versione ASP.NET dettagliati. L'impatto di questo dipende da altre aree della sicurezza del tuo sito.
Se tutto il resto è perfetto, probabilmente non c'è molto impatto, tuttavia, laddove sono presenti altri problemi di sicurezza, gli errori dettagliati possono essere molto utili per l'aggressore. Ad esempio, quando si verifica un problema di SQL Injection, gli errori dettagliati possono rivelare l'esatta istruzione SQL in uso, che è molto utile per l'utente malintenzionato nello sfruttamento del problema.
Quindi l'impatto esatto è difficile da dire senza conoscere i dettagli del tuo sito, tuttavia dato che la correzione è piuttosto banale nella maggior parte dei casi, consiglierei sempre di rimuoverli sui siti di produzione. Impostazione della Modalità di distribuzione per la vendita al dettaglio è probabilmente il modo più semplice per raggiungere questo obiettivo.
Leggi altre domande sui tag asp.net-mvc appsec