iT邦幫忙

2024 iThome 鐵人賽

DAY 15
0
Security

WEB仔也要懂資安嗎系列 第 15

15/Insecure Design: Generation of Error Message Containing Sensitive Information

  • 分享至 

  • xImage
  •  

Generation of Error Message Containing Sensitive Information
指的是Server端在發生錯誤時,洩露過多資訊到客戶端,導致有心人士可以透過這些資訊進一步尋找可以攻擊的弱點。
從網站來說,常見的例子就是程式沒有做好Exception handling,導致出現錯誤時,直接把完整的stack trace log印在頁面上,讓攻擊者可以從log推斷出程式的寫法、架構,再進一步找可利用的弱點。

另一個常見的例子是沒有做好web server的設定,導致客戶端可以藉以知道你用的是什麼Apache、nginx等等。

最好的作法是連讓server回應response code 500都禁止,讓客戶端知道server端的資訊愈少愈好。


上一篇
14/Insecure Design: Business Logic Errors
下一篇
16/Insecure Design: Unprotected Storage of Credentials
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言