公司项目被安全公司扫描出“报错页面敏感信息泄露”,问题如下?

问题描述
报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径,为攻击者收集信息提供了方便。
测试步骤
构造无效路径、无效参数尝试触发报错,发现中间件版本泄露:

测试结果
低风险
安全建议
1、编码时增加异常处理模块,对错误页面做统一的自定义返回界面,隐藏服务器版本信息;
2、不对外输出程序运行时产生的异常错误信息详情。

=================================================
我按照给出的测试步骤,无法复现呀,web.xml中已经配置了错误错误路径呀?如图所示,为什么还会被扫描出?

<error-page>

<error-code>404</error-code>

<location>/error.jsp</location>

</error-page>

<error-page>

<error-code>500</error-code>

<location>/error.jsp</location>

</error-page>

<error-page>

<exception-type>java.lang.Exception</exception-type>

<location>/error.jsp</location>

</error-page>

<welcome-file-list>

<welcome-file>pc/index.html</welcome-file>

</welcome-file-list>

回答

错误码是 405。

以上是 公司项目被安全公司扫描出“报错页面敏感信息泄露”,问题如下? 的全部内容, 来源链接: utcz.com/a/27694.html

回到顶部