¿Hay algún problema de seguridad que pueda surgir de un error del servidor generado por ASP.net y que se envíe al usuario? Soy consciente de los posibles problemas de la información confidencial que se envía en el mensaje de error, pero ¿qué tan grave puede ser esto, y hay otras vulnerabilidades a causa de esto?
La divulgación de los errores del servidor ASP.NET es principalmente un problema de divulgación de información
Cuando esto sucede, usted está revelando información sobre la tecnología en uso. Si son solo los errores predeterminados (no los verbosos), esto es bastante limitado, si se trata de uno detallado, se están revelando los rastros de pila y los números de versión detallados de ASP.NET. El impacto de esto depende de otras áreas de la seguridad de su sitio.
Si todo lo demás es perfecto, es probable que no haya mucho impacto, sin embargo, donde existen otros problemas de seguridad, los errores detallados pueden ser muy útiles para el atacante. Por ejemplo, cuando se produce un problema de inyección de SQL, los errores detallados pueden revelar la declaración SQL exacta en uso, lo que es muy útil para el atacante para explotar el problema.
Así que realmente es difícil decir el impacto exacto sin conocer los detalles de su sitio, sin embargo, dado que la solución es bastante trivial en la mayoría de los casos, siempre recomiendo eliminarlos en los sitios de producción. Configuración de Modo de implementación para vender Es probable que la forma más fácil de lograr esto.
Lea otras preguntas en las etiquetas appsec asp.net-mvc