WEB安全漏洞之错误统一处理机制

最新推荐文章于 2024-03-23 15:31:13 发布
最新推荐文章于 2024-03-23 15:31:13 发布
阅读量589 收藏
点赞数
分类专栏: WEB安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Agonie_25/article/details/90374976
版权

漏洞说明

当因为某些疏忽(开发问题等)或者用户恶意操作导致网页出现错误时,在未进行处理的情况下,浏览器往往会直接给出错误信息,甚至会详细到某个文件的某行代码出现了什么样的错误,这样可能会暴露项目的目录结构,将一些关键信息展示给攻击者。

修复方案

当异常或错误出现时,展示统一的错误提示页面error.jsp,避免关键信息的显示。相关的配置可以在web.xml中进行设置:

<!-- 在web.xml中做如下配置:-->
<!-- 通用的异常处理/提示方式,避免错误页面暴露项目结构等重要信息 -->
  	<!-- 400错误 请求无效 -->
    <error-page> 
        <error-code>400</error-code> 
        <location>/error.jsp</location> 
    </error-page> 
	<!-- 404 页面不存在错误 -->
    <error-page> 
        <error-code>404</error-code> 
        <location>/error.jsp</location> 
    </error-page> 
	<!-- 500 服务器内部错误 -->
    <error-page> 
        <error-code>500</error-code> 
        <location>/error.jsp</location> 
    </error-page> 
    <!-- java.lang.Exception异常错误 -->
    <error-page> 
        <exception-type>java.lang.Exception</exception-type> 
        <location>/error.jsp</location> 
    </error-page>

error.jsp中只包含一个简单的消息提示框,对于一般用户而言,仅展示该页面就可以了。而在进行本地开发中,如果网页出现错误,为了方便调试,可以将这块代码注释掉,这样定位问题就很直观了。

艾苟尼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器500错误_安全漏洞(一)统一错误处理
weixin_39759589的博客
11-28 392
检测到错误页面web应用服务器版本信息泄露 现在访问:http://localhost:8080/pages/xx.jsp,应该会报404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对错误进行处理,在web.xml添加对相应的错误页面: 403 /pages/403.html 404 /pages/404.html 500 /pa...
应用程序错误页面
daqi1983的博客
04-13 179
因为我们的应用程序使用了Thymeleaf,所以我们要做的就是创建一个名为error.html的文件,把它和其他的应用程序模板一起放在模板文件夹里。如下代码是一个简单有效的错误页,可以用来代替默认的白标错误页。❑ errors:BindingResult异常里的各种错误(如果这个错误是由异常引起的)。为了让你的应用程序故障页变成大师级作品,你需要为应用程序创建一个自定义的错误页。❑ message:异常消息(如果这个错误是由异常引起的)。❑ trace:异常跟踪信息(如果这个错误是由异常引起的)。
常见部分漏洞原理以及解决方法
weixin_47267061的博客
03-06 994
web安全------部分常见漏洞原理以及防御方法
计算机漏洞分析
随缘,随心
09-10 1万+
1. 漏洞的定义   大多数用户对于计算机安全漏洞的概念或多或少会有一定的理解,但是他们所处的领域不同、看待漏洞的角度不同,导致对漏洞的理解也各不相同。因此,在研究漏洞的过程中,至今对漏洞的精确定义还没有形成一个统一的、标准的解释,目前被广泛接收的定义有以下三种。   Denning 在《Cryptograph and Data Security》一文中从访问控的角度给出了漏洞的定义
软件漏洞的定义及其分类
最新发布
weixin_61967363的博客
03-23 792
漏洞的定义及其分类相关的知识点总结
安全开发之Java Web安全编码.pdf
01-07
### 安全开发之Java Web安全编码 #### 一、Web应用安全威胁 在现代互联网环境中,Web应用程序作为企业对外展示的重要窗口,面临着各种各样的安全威胁。这些威胁不仅包括了传统的技术层面的问题,还涉及到了更为...
WEB之困-现代WEB应用安全指南
01-05
- 错误处理:避免泄露敏感信息,提供统一且不包含具体错误详情的错误页面。 9. **持续监控与日志分析**:实时监控系统行为,及时发现异常活动,并对日志进行分析,以追踪潜在攻击。 10. **安全更新与补丁管理**:...
104-web漏洞挖掘之SSRF漏洞1
08-03
2. 统一错误信息,避免因错误提示暴露服务器的内部结构或状态。 3. 对302重定向进行严格控,每次重定向都检查新Host是否为内网IP,防止连续重定向导致的攻击。 4. 关闭或限不常用的服务和功能,如Weblogic的UDDI...
Web应用安全开发规范-V2.0.doc
08-03
本规范详细涵盖了背景介绍、技术框架、使用对象、适用范围以及用词约定等多个方面,并着重讨论了常见Web安全漏洞Web设计的安全规范。 1. **概述** - **背景简介**:随着互联网的飞速发展,Web应用已经成为日常...
「安全开发」浅谈企业安全防护体系中的渗透预警与追溯分析 - 数据治理.zip
11-27
企业应建立漏洞预警系统,及时获取并处理安全漏洞信息。这包括订阅漏洞数据库,定期扫描系统以发现已知漏洞,以及配合漏洞管理流程,确保漏洞得到及时修复。 总结来说,企业安全防护体系中的渗透预警与追溯分析是...
安全漏洞管理度.doc
11-06
安全漏洞管理度,信息系统安全漏洞的发现、评估及处理过程。
javaWeb中由于报错页面暴露服务器版本等重要信息统一设置错误页面
01-09 2116
1、新建a.jsp页面,输入如下代码,由于分母为0,肯定代码异常 2.访问浏览器,页面展示如下,很不友好,且暴露服务器版本等重要信息 3.在a.jsp页面顶部增加代码 errorPage="/error.jsp" 4.新建error.jsp页面,位置如下 5.代码如下: 6.浏览器中访问a.jsp 出现错误信息提示,说明正确跳转到了error.jsp 而浏览器中的U...
spring boot中自定义错误提示页面
AndyLizh的专栏
04-13 7497
当程序出错的时候,比如500错误,当用户输入的url错误时会找不到网页。 在这种情况下如果用默认的错误页面非常不友好。 一般我们都需要定一些错误的页面。 在普通的web项目中很简单,直接配置web.xml就可以了。 今天我介绍的是在spring boot中如何使用自己的错误页面。 因为boot中是没有web.xml这个文件的,所以我们需要使用java con
SpringBoot web--错误处理(学习笔记19)
yufang131的博客
06-12 548
1、比如说:我先注释掉拦截器,让问题重现一下:这里我访问一个不存在的请求路径,就出现了错误(There was an unexpected error (type=Not Found, status=404).)。通过客户端 Postman 模拟请求一下(下图所示),默认响应一个  JSON 数据:原理:    可以参照 ErrorMvcAutoConfiguration 进行错误处理的自动配置。...
隐藏/屏蔽服务器信息与web软件版本信息
shao.bing的专栏
03-09 2706
俗话说的好,不怕偷,就怕被惦记着啊!这名话用到服务器上很适合啊。对于黑客来说,入侵第一步,一般都是先扫描,这些扫描包括服务器的类型,提供服务的软件及版本号,然后针对这些系统或软件的相应漏洞进行入侵。那么如何来隐藏这些信息呢?这就是今天的技术内容。 1、隐藏服务器系统信息 在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。为了不让这
Java Web 错误/异常处理页面(更新)
weixin_34064653的博客
02-08 579
更新!!之前的代码严重过度设计!!现修正只是一张 jsp 即可。 <%@page pageEncoding="UTF-8" isErrorPage="true" import="java.io.*"%> <%!/** * 收集错误信息 输出到网页 * * @param request * 请求对...
centos7 访问php页面显示源码_PHP安全:敏感信息泄露
weixin_39747341的博客
11-23 217
文章来源:计算机与网络安全不少PHP项目中没能正确地保护敏感数据,如某些信用卡、用户ID和身份验证凭据Token。攻击者可能会窃取或者篡改这些数据以进行诈骗、身份窃取或其他非法操作。敏感数据需额外保护,要在存放、传输过程中进行必要的加密,以及在与浏览器交换时实施特殊的预防措施。防止恶意用户获取其他合法用户的隐私数据,甚至通过获取服务器中的敏感数据达到控服务器的目的。敏感数据的不正确保护...
web-利用信息泄露】(10.3)防止信息泄露
08-31 785
【防止信息泄露】
检测到错误页面web应用服务器版本信息泄露
热门推荐
qq_20867981的博客
05-14 1万+
比方说我现在访问:http://localhost:8080/pages/xx.jsp,应该会报404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对错误进行处理,在web.xml添加对相应的错误页面:&lt;!-- 默认的错误处理页面 --&gt; &lt;error-page&gt; &lt;error-code&gt;403&lt;/error-code...
Web安全漏洞入门详解:概念、分类与应对策略
"Web安全漏洞入门指南深入解析" 一、漏洞概述 在IT领域中,Web安全漏洞是一个关键的关注点,它指的是在Web应用程序或服务中存在的一种缺陷,可能导致未经授权的访问、数据泄露或系统破坏。漏洞的概念并非单一,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值