Moin lieber dedlfix,

Wie kann man denn diese Information missbrauchen?

Es erleichtert einem Angreifer die Arbeit. Er kann mehrere unterschiedliche URLs, die alle (für den Angreifer sichtbar) diegleiche ActionController-Klasse benutzen, im Browser aufrufen und so herausbommen, was die Klasse macht.

Mir ist ein Fall bekannt (liegt Jahre zurück), da genügten dem Angreifer zwei URLs womit er harausbekam, dass der dahinterliegende Code eine Datei vom FS einliest und diese dann im Browser anzeigt. Infolge Manipulation des URLs konnten dann beliebige Dateien im Broswer angezeigt werden.

Und warum kommen ziemlich viele Systeme genau nach dem Prinzip, dass aus Teilen der URL die Namen des ActionControllers und der Action gebildet werden, problemlos zurecht?

Die Route zur Controller-Class im URL zu kodieren, erzeugt weitere Abhängigkeiten, die in komplexen Webanwendungen sehr wohl und sehr problematisch sein könnten.

Schönen Sonntag ;)