公司项目被安全公司扫描出“报错页面敏感信息泄露”,问题如下?
问题描述
报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径,为攻击者收集信息提供了方便。
测试步骤
构造无效路径、无效参数尝试触发报错,发现中间件版本泄露:
测试结果
低风险
安全建议
1、编码时增加异常处理模块,对错误页面做统一的自定义返回界面,隐藏服务器版本信息;
2、不对外输出程序运行时产生的异常错误信息详情。
=================================================
我按照给出的测试步骤,无法复现呀,web.xml中已经配置了错误错误路径呀?如图所示,为什么还会被扫描出?
<error-page> <error-code>404</error-code>
<location>/error.jsp</location>
</error-page>
<error-page>
<error-code>500</error-code>
<location>/error.jsp</location>
</error-page>
<error-page>
<exception-type>java.lang.Exception</exception-type>
<location>/error.jsp</location>
</error-page>
<welcome-file-list>
<welcome-file>pc/index.html</welcome-file>
</welcome-file-list>
回答:
错误码是 405。
以上是 公司项目被安全公司扫描出“报错页面敏感信息泄露”,问题如下? 的全部内容, 来源链接: utcz.com/a/166712.html