Отражение позволяет вредоносному коду проверять все виды секретов: не столько интеллектуальную собственность (хотя, конечно, и это тоже), но данные, которые должны быть конфиденциальными и безопасными, такие как строки подключения, пароли, данные банковских счетов и т. Д.
Конечно, многие программы предоставляют эти данные как нечто само собой разумеющееся с помощью даже более легко взломанных векторов, но нет причин увеличивать поверхность атаки приложения.
Отредактировано, чтобы выделить часть обсуждения из комментариев:
Вероятно, это правда, что реальный риск - это неограниченный доступ к файловой системе, который превращает отражение в реальную опасность. Если плохой субъект может получить сборку (или что-то, что скомпилировано в сборку) в ваш виртуальный каталог, у вас проблемы, если у него есть разрешение на отражение. (Конечно, если это произойдет, есть и другие потенциальные проблемы, но это не должно сбрасывать со счетов эту конкретную уязвимость.)
В среде общего хостинга это еще труднее предотвратить, хотя это, конечно, не невозможно. Возможно, стоит отправить этот вопрос на страницу ServerFault, чтобы узнать, что там говорят хорошие люди.
person
Jeff Sternal
schedule
21.07.2009