关注公众号“中科天齐软件安全中心”(id:woocoom),一起涨知识!
该栏目为中科天齐全新规划的悟空云课堂,每周五下午18:00准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
什么是通过错误消息导致的信息暴露缺陷?
软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。
通过错误消息导致的信息暴露缺陷构成条件有哪些?
敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建:
1、自生成的:源代码显式构造错误消息并将其传递
2、外部生成的:外部环境(例如语言解释器)处理错误并构造自己的消息,其内容不受程序员的直接控制。
通过错误消息导致的信息暴露缺陷会造成哪些后果?
通常,这可能会泄露敏感信息,也可能会被用于后续的攻击,也可能存储在服务器中的私人信息中。
通过错误消息导致的信息暴露缺陷的防范和修补方法有哪些?
内部处理异常,不向用户显示包含潜在敏感信息的错误