уязвимость сайта 2 - web.config на IIS7 - вопрос №105649
в целом картина ясна — уязвимость будет.
теперь стало интересно — на сколько критичная?
что можно извлечь с сайта опубликованного с отладочным кодом, в web.config разрешена отладка, на сервере IIS провайдера не разрешена. в web.config разрешено чтение метаданных WCF сервисов. на сайте публикуются SilverLight приложения без обфускации кода.
1 — попробуй проверить позволяет ли хостер скачать модуль если известно его имя, если нет — то все скорее всего не так уж плохо
2 — разрешенная отладка в web.config, в случае ошибок выдаст стек вызова — а это может быть довольно илюстративно об архитектуре серверной части, особенно при использовании общедоступных библиотек
3 — отладочная версия кода скорее всего повлияет только на быстродействие
4 — метаданные сервиса — это возможность построения своего клиента и программная работа с сервисом. если это не входит в планы — это уязвимость
5 — ксапы без обфускации — тем более
… вообще весь вопрос в том а что на сервере? какая информация? если платная инфа ли услуга — интерес к взлому будет пропоционален ценности инфы… а если еще учетные и/или платежные данные клиентов — тем более… харктер хранимой информации довольно легко оценить сделав «контрольную закупку» — в смысле зарегистрировашись под видом клиента и поэксплуатировав систему — вполне можно оценить больше чем официально расскажет клиенту разработчик