1.14 错误信息泄漏漏洞(Error Info)
0x01 漏洞描述
应用程序未对代码逻辑进行异常捕获,攻击者可通过输入异常字符串、异常类型、异常长度、畸形参数、增加删除参数、修改请求方法、异常请求头等途径是程序异常,从而导致应用程序抛出异常错误信息。
0x02 漏洞危害
攻击者通过构造特殊的攻击向量使应用程序抛出异常,可能导致应用绝对路径泄漏,源代码泄漏,敏感函数、控制器等泄漏,SQL语句泄漏,数据库敏感信息泄漏,接口信息等敏感信息泄漏。
攻击者可以利用这些信息实施进一步的攻击。
0x03 修复建议
- 线上应用务必关闭debug模式。
- 代码逻辑中尽量保证存在异常处理逻辑。
- 错误信息统一处理,比如统一跳转首页、显示404页面、500页面等。
- 严格校验用户输入数据,细化服务端处理颗粒度。
- 不要相信逻辑上的跳转语句。
- 确保异常之后的代码不会运行。