在我读过的一些书中,据说隐藏黄色死亡屏幕(显然)很好,但不仅仅是因为它对
用户来说非常不正式,而且因为黑客可以使用破解您网站的信息.
我的问题是这个.黑客如何使用这些信息? .NET调用堆栈的基本操作的调用堆栈如何帮助黑客?
我附上了我在很久以前创建的一个网站上遇到的黄色死亡屏幕,这引起了我的兴趣.
(错误是它在尝试将查询字符串参数强制转换为int时失败.是的,我知道它的错误代码,我多年前写过它;)
如果您正在编写安全
代码,YSOD不应该为黑客提供破解您的应用程序的能力.但是,如果您的
代码不安全,那么YSOD可以为攻击者提供必要的信息以允许他们执行攻击.
比如说,你已经编写了自己的论坛软件.您已经为用户编写帖子以防止XSS攻击等进行了大量验证,但您的验证有误.如果黑客在发布帖子时可以显示YSOD,则显示的堆栈跟踪可能会向您显示验证中的裂缝并利用它们来创建XSS攻击或获取成员详细信息或密码等.
它本身的YSOD不是威胁,但对于黑客来说,它可以是一种非常有用的方法来查找应用程序安全性中的缺陷.