1.14 错误信息泄漏漏洞(Error Info)

0x01 漏洞描述

应用程序未对代码逻辑进行异常捕获,攻击者可通过输入异常字符串、异常类型、异常长度、畸形参数、增加删除参数、修改请求方法、异常请求头等途径是程序异常,从而导致应用程序抛出异常错误信息。

0x02 漏洞危害

攻击者通过构造特殊的攻击向量使应用程序抛出异常,可能导致应用绝对路径泄漏,源代码泄漏,敏感函数、控制器等泄漏,SQL语句泄漏,数据库敏感信息泄漏,接口信息等敏感信息泄漏。

攻击者可以利用这些信息实施进一步的攻击。

0x03 修复建议

  1. 线上应用务必关闭debug模式。
  2. 代码逻辑中尽量保证存在异常处理逻辑。
  3. 错误信息统一处理,比如统一跳转首页、显示404页面、500页面等。
  4. 严格校验用户输入数据,细化服务端处理颗粒度。
  5. 不要相信逻辑上的跳转语句。
  6. 确保异常之后的代码不会运行。
最后修改:2021 年 06 月 23 日 11 : 03 PM
如果觉得我的文章对你有用,请随意赞赏