记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

通过错误消息导致的信息暴露

2021-10-04 15:01


一、什么是通过错误消息导致的信息暴露缺陷?

软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。


二、通过错误消息导致的信息暴露缺陷构成条件有哪些?

敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建:

1、自生成的:源代码显式构造错误消息并将其传递

2、外部生成的:外部环境(例如语言解释器)处理错误并构造自己的消息,其内容不受程序员的直接控制。


三、通过错误消息导致的信息暴露缺陷会造成哪些后果?

通常,这可能会泄露敏感信息,也可能会被用于后续的攻击,也可能存储在服务器中的私人信息中。


四、通过错误消息导致的信息暴露缺陷的防范和修补方法有哪些?

内部处理异常,不向用户显示包含潜在敏感信息的错误。如果必须对错误进行详细跟踪,请在日志消息中捕获错误,但是要考虑如果攻击者可以查看日志消息,会发生什么情况。避免以任何形式记录高度敏感的信息,如密码。


五、通过错误消息导致的信息暴露缺陷样例:

 
通过错误消息导致的信息暴露




上述程序代码,则可以发现代码中存在着“通过错误消息导致的信息暴露” 导致的代码缺陷,如下图:

 
通过错误消息导致的信息暴露

通过错误消息导致的信息暴露缺陷在CWE中被编号为CWE-209:Generation of Error Message Containing Sensitive Information

文章来源于互联网:通过错误消息导致的信息暴露


知识来源: https://secvery.com/6510.html

阅读:87361 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“通过错误消息导致的信息暴露”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁