Generation of Error Message Containing Sensitive Information
指的是Server端在發生錯誤時,洩露過多資訊到客戶端,導致有心人士可以透過這些資訊進一步尋找可以攻擊的弱點。
從網站來說,常見的例子就是程式沒有做好Exception handling,導致出現錯誤時,直接把完整的stack trace log印在頁面上,讓攻擊者可以從log推斷出程式的寫法、架構,再進一步找可利用的弱點。
另一個常見的例子是沒有做好web server的設定,導致客戶端可以藉以知道你用的是什麼Apache、nginx等等。
最好的作法是連讓server回應response code 500都禁止,讓客戶端知道server端的資訊愈少愈好。
iThome鐵人賽
看影片追技術