一.1.1 ?未自定義錯誤頁面
問題描述:經測試發現,由服務器產生403、404、500等錯誤時,返回詳細錯誤信息。報錯信息中可能會包含服務器代碼信息、數據庫連接信息、SQL語句或者敏感文件的路徑,為攻擊者收集信息提供了方便。
受影響的URL:http://m.xinyangweb.com/revision
驗證過程:
在鏈接結尾輸入異常字符如’,會引起系統報錯
圖 一.1 ?未自定義錯誤頁面
風險程度:【輕度】
風險分析:攻擊者可能通過這些信息獲得更多的關于Web服務器和系統架構相關的信息,以及可能暴力的程序源代碼及調試信息。
解決辦法:編碼時增加異常處理模塊,對錯誤頁面做統一的自定義返回界面,隱藏服務器版本信息;不對外輸出程序運行時產生的異常錯誤信息詳情。