程式碼安全測試第二十六期:透過錯誤訊息導致的資訊暴露
一、什麼是透過錯誤訊息導致的資訊暴露缺陷?
軟體會生成一條錯誤訊息,其中包含有關其環境,使用者或關聯資料的敏感資訊。
二、透過錯誤訊息導致的資訊暴露缺陷構成條件有哪些?
敏感資訊本身可能是有價值的資訊(例如密碼),或者對於發起其他更嚴重的攻擊可能很有用。該錯誤訊息可能以不同的方式建立:
1、自生成的:原始碼顯式構造錯誤訊息並將其傳遞
2、外部生成的:外部環境(例如語言直譯器)處理錯誤並構造自己的訊息,其內容不受程式設計師的直接控制。
三、透過錯誤訊息導致的資訊暴露缺陷會造成哪些後果?
通常,這可能會洩露敏感資訊,也可能會被用於後續的攻擊,也可能儲存在伺服器中的私人資訊中。
四、透過錯誤訊息導致的資訊暴露缺陷的防範和修補方法有哪些?
內部處理異常,不向使用者顯示包含潛在敏感資訊的錯誤。如果必須對錯誤進行詳細跟蹤,請在日誌訊息中捕獲錯誤,但是要考慮如果攻擊者可以檢視日誌訊息,會發生什麼情況。避免以任何形式記錄高度敏感的資訊,如密碼。
五、透過錯誤訊息導致的資訊暴露缺陷樣例:
用悟空 軟體靜態程式碼檢測分析 上述程式程式碼,則可以發現程式碼中存在著“透過錯誤訊息導致的資訊暴露” 導致的 程式碼缺陷,如下圖:
透過錯誤訊息導致的資訊暴露缺陷在CWE中被編號為CWE-209:Generation of Error Message Containing Sensitive Information
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2778594/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 如何在 Cypress 測試程式碼中遮蔽(Suppress)來自應用程式碼報出的錯誤訊息
- 程式碼安全測試第六期:XPath注入漏洞
- 程式碼安全測試第八期:Switch中缺少default導致的程式碼缺陷
- 如何根據 SAP UI5 框架程式碼丟擲的錯誤訊息,反查出是哪一行程式碼引起的錯誤訊息試讀版UI框架行程
- 按照Angular官網教程執行簡單的測試程式碼,會遇到expect is not defined的錯誤訊息Angular
- 程式碼安全測試第十六期:使用不安全的隨機值漏洞隨機
- 滲透測試可能遇到哪些響應訊息頭?web網路安全Web
- 滲透測試可能遇到哪些訊息頭?網路安全基礎學習
- 程式碼安全測試第九期:Switch中省略了break語句導致的程式碼缺陷漏洞
- sys密碼修改導致的RMAN-00571錯誤密碼
- 滲透測試對app安全測試實戰過程分享APP
- 程式碼安全測試第二十八期:未使用的變數缺陷漏洞變數
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- 編譯過程導致ORA-4068錯誤編譯
- 測試程式碼時你會犯的 11 個錯誤
- 滲透測試可能遇到哪些請求訊息頭?網路安全入門學習
- 程式碼安全測試第二十期:資源未關閉/釋放漏洞
- 程式碼安全測試第二十二期:HTTP響應拆分漏洞HTTP
- SAP ABAP 透過 https 消費外部 API 遇到錯誤訊息 SSSLERR_SSL_CONNECTHTTPAPI
- 滲透測試-資訊收集
- impdp時parallel=4導致的錯誤Parallel
- 安全測試和滲透測試的區別
- Android透過接收UDP訊息改寫程式配置AndroidUDP
- 統計資訊不正確導致執行計劃的錯誤選擇
- SAP錯誤訊息除錯之七種武器:讓所有的錯誤訊息都能被定位除錯
- 微信小程式之滲透測試、加固、安全檢測微信小程式
- PHP檔案上傳錯誤程式碼,狀態測試,除錯PHP除錯
- 多餘索引導致explain錯誤索引AI
- 程式碼安全測試第二十四期:數字型別的不正確轉換漏洞型別
- 通過錯誤堆疊資訊和原始碼分析錯誤來源原始碼
- 程式碼安全測試第十四期:使用已破解或危險的加密演算法導致的漏洞加密演算法
- 通過錯誤的sql來測試推理sql的解析過程SQL
- Angular No provider for EffectsRootModule錯誤訊息AngularIDE
- 程式碼安全測試第二十一期:從finally塊中return漏洞
- 程式碼安全測試第二十九期:通用異常捕獲宣告缺陷漏洞
- Go 語言的錯誤訊息處理Go
- 網路安全滲透測試的型別!滲透測試入門教程型別
- 網路安全滲透測試