一.1.1 未自定义错误页面
问题描述:经测试发现,由服务器产生403、404、500等错误时,返回详细错误信息。报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径,为攻击者收集信息提供了方便。
受影响的URL:/revision
验证过程:
在链接结尾输入异常字符如’,会引起系统报错
图 一.1 未自定义错误页面
风险程度:【轻度】
风险分析:攻击者可能通过这些信息获得更多的关于Web服务器和系统架构相关的信息,以及可能暴力的程序源代码及调试信息。
解决办法:编码时增加异常处理模块,对错误页面做统一的自定义返回界面,隐藏服务器版本信息;不对外输出程序运行时产生的异常错误信息详情。
