一.1.1 ?未自定義錯誤頁面
問題描述:經(jīng)測試發(fā)現(xiàn),由服務(wù)器產(chǎn)生403、404、500等錯誤時,返回詳細錯誤信息。報錯信息中可能會包含服務(wù)器代碼信息、數(shù)據(jù)庫連接信息、SQL語句或者敏感文件的路徑,為攻擊者收集信息提供了方便。
受影響的URL:http://m.jzztb.org.cn/revision
驗證過程:
在鏈接結(jié)尾輸入異常字符如’,會引起系統(tǒng)報錯
圖 一.1 ?未自定義錯誤頁面
風(fēng)險程度:【輕度】
風(fēng)險分析:攻擊者可能通過這些信息獲得更多的關(guān)于Web服務(wù)器和系統(tǒng)架構(gòu)相關(guān)的信息,以及可能暴力的程序源代碼及調(diào)試信息。
解決辦法:編碼時增加異常處理模塊,對錯誤頁面做統(tǒng)一的自定義返回界面,隱藏服務(wù)器版本信息;不對外輸出程序運行時產(chǎn)生的異常錯誤信息詳情。