Tach!

Wie kann man denn diese Information missbrauchen?
Es erleichtert einem Angreifer die Arbeit. Er kann mehrere unterschiedliche URLs, die alle (für den Angreifer sichtbar) diegleiche ActionController-Klasse benutzen, im Browser aufrufen und so herausbommen, was die Klasse macht.

Ich muss nicht wissen, wie die Klasse heißt, wenn URL-Aufrufe ausreichen, um Schaden anzurichten.

Mir ist ein Fall bekannt (liegt Jahre zurück), da genügten dem Angreifer zwei URLs womit er harausbekam, dass der dahinterliegende Code eine Datei vom FS einliest und diese dann im Browser anzeigt. Infolge Manipulation des URLs konnten dann beliebige Dateien im Broswer angezeigt werden.

Sowas wird nicht verhindert oder begünstigt, wenn URL und Namen von Identifizierer übereinstimmen oder auch nicht. Wenn sowas möglich ist, ist das ein Problem beim Überprüfen von Berechtigungen oder der Validität von Eingabedaten im Code.

Und warum kommen ziemlich viele Systeme genau nach dem Prinzip, dass aus Teilen der URL die Namen des ActionControllers und der Action gebildet werden, problemlos zurecht?
Die Route zur Controller-Class im URL zu kodieren, erzeugt weitere Abhängigkeiten, die in komplexen Webanwendungen sehr wohl und sehr problematisch sein könnten.

Die Frage war nach der Sicherheit solcher Vorgehensweisen, nicht nach anderen Nebenwirkungen. Wie auch immer, diese Systeme haben in der Regel neben der Default-1:1-Auflösung von URL-Teilen zu Identifizierern meist noch eine Konfigurationsmöglichkeit, in der eigenen Regeln definiert werden können.

dedlfix.