关于漏洞"这个页面包含一个错误/警告信息,可能会导致敏感信息泄露"

最新推荐文章于 2024-05-07 02:01:01 发布
最新推荐文章于 2024-05-07 02:01:01 发布
阅读量2.3k 收藏 2
点赞数
文章标签: 安全漏洞 异常处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40085888/article/details/105997585
版权
公司开发的软件.在用软件扫描漏洞时,扫出了这么一个漏洞.可以看出有漏洞的地方是登录页面.在登录中,主要逻辑如下: 一些拒绝登录是通过抛异常->然后捕获异常->获取异常信息->跳回到登录页面并展示错误信息.@RequstMapping("login")public String login(LoginForm loginForm){ try{ ...
摘要由CSDN通过智能技术生成

公司开发的产品.在用软件扫描漏洞时,扫出了这么一个漏洞.

可以看出有漏洞的地方是登录页面.在登录中,主要逻辑如下: 一些拒绝登录是通过抛异常->然后捕获异常->获取异常信息->跳回到登录页面并展示错误信息. 下面为代码示例

@RequstMapping("login")
public String login(LoginForm loginForm){
    try{
        myService.doLogin(loginForm);
    }catch(Exception e){
        request.setAttribute("errorMessage", e.getMessage());//把错误信息提示给用户
        return "login";
    }
    return "index";//成功登录进入主页
}

public void doLogin(LoginForm loginForm)){
    if(...){
        throw new BusiException("账号被挂起,暂不能登录。");
    }
    if(...){
        throw new BusiException("账号或密码错误");
    }
     
}

感觉异常都可以被正常捕获, 并把错误信息正常提示给用户.

找了很久都不知道是哪里

最低0.47元/天 解锁文章
Wing_gor
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java异常泄露敏感信息_浅谈“异常信息泄露(应用程序错误)”
weixin_36026454的博客
02-28 2507
详细的各种修复方案请参考如下:1.对于tomcat的中间件下,常用修复方式如下:找到配置文件web.xml,修改内容如下:配置一个统一的静态页面,将400、403、404、500等常见报错重定向到该静态页面,而不是抛出异常(报错信息导致代码信息泄漏)。java.lang.Throwable/jsp/common/error.html500/jsp/common/error.html404/jsp/...
安全测试漏洞大全
weixin_45625450的博客
08-27 4768
建议在重置密码的功能点中,禁止仅以返回数据包中的标识作为跳转下一步的标识,更新密码时,再一次在服务端对用户身份进行校验,或直接使用服务端保存session进行对应用户密码的更新,加强验证码的校验机制,禁止反馈验证码到客户端,验证码不可复用,且存在较短的时效性。风险描述:俗称“贵宾犬”漏洞,此漏洞是针对SSL3.0中CBC模式加密算法的一种Padding Oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如Cookie,Session,则信息的安全则出现了隐患。..
公司账号密码、通信录泄露屡见不鲜,肆意流淌的敏感信息:WEB安全基础入门—信息泄露漏洞_公司通讯录泄露(1)
最新发布
2401_84185556的博客
05-07 670
一旦对某个参数感兴趣,可以将该参数值进行混淆输入,观察应用响应。这一步可使用Burp爆破模块进行大量自动化的混淆测试。渗透测试的一项关键技能是能够随时随地识别有价值的信息。指定header为本地的用户才有权限访问admin, 删除账户carlos。在开发阶段经常使用版本控制系统,例如Git 在路径扫描中有时能发现路径。可在攻击端安装Git,直接拉取下载,来获取部分源代码。测试账户:wiener:peter。获取部分源代码,找到数据库密码。获取使用框架的版本号。获取到框架及其版本号。
web安全 应用程序错误威胁
金溪的博客
09-13 2782
描述  如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序,那么应用程序可能进入易受攻击的未定义状态。攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。 错误消息中泄露重要信息的另一个原因,是脚本编译引擎,web服务器或数据库配置错误。   以下是一些不同的变体: (1)去掉参数。 (2)去掉参数值。 (3)将参数值设置...
浅谈“异常信息泄露(应用程序错误)”
→_→
07-16 8248
一:漏洞名称: 未自定义统一错误页面导致信息泄露,抛出异常信息泄露错误详情信息泄漏 AWVS漏洞名称如下: Application error message Error message on page ASP.NET error message 描述: 1.如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序,那么应用程序可能进入易受攻击的未定义状态。攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。 错误.
敏感信息泄露
qq_56289291的博客
07-29 2612
同样,您可以检查是否存在任何常见的配置错误或危险的默认设置,您可以利用这些错误或设置。攻击者可能无法完全加载其他用户的帐户页面,但例如,获取和呈现用户注册的电子邮件地址的逻辑可能检查参数是否与当前登录的用户匹配。在这种情况下,只需更改该参数,攻击者就可以在自己的帐户页面上显示任意用户的电子邮件地址。此行为通常是无害的,但偶尔导致信息泄露,例如可能由反向代理附加到请求的内部身份验证标头的名称。由于第三方技术的广泛使用,这种情况尤其常见,其大量的配置选项不一定被实现它们的人很好地理解。...
PAS安装:某个系统安装在pas6.5上,当访问页面有问题时,报错404页面显示了产品版本信息存在敏感信息泄露
py_doc的博客
07-25 430
PAS安装:某个系统安装在pas6.5上,当访问页面有问题时,报错404页面显示了产品版本信息存在敏感信息泄露
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
远程攻击者可通过诱骗用户打开特别构建的 .disco 文件来利用此问题,从而导致敏感信息泄露。 Microsoft 已发布一系列用于 SQL Server 2005、2008 和 2008 R2 的修补程序,详请参考:...
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
CVE-2016-2183是一种特定的SSL/TLS协议漏洞可能导致敏感信息泄露,如用户的话凭据或个人信息。这个漏洞可能被恶意攻击者利用,通过中间人攻击(Man-in-the-Middle, MITM)获取未加密的数据或者篡改加密的数据流...
MS10-070ASP.NETPaddingOracle信息泄露漏洞
03-02
我记得这个漏洞在12年的时候,国内的资料还很少,...ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。此漏洞还可以用于数据
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Servlet技术(五)--防止页面被客户端缓存
想念的专栏
01-17 1032
许多浏览器为了能快速向用户展示所请求的页面把来自服务器端的页面存放在客户端的缓存中。如果用户多次请求访问服务器端的同一个网页,并且在客户端的缓存中已经存在该网页,那么浏览器只需要从缓存中获取该网页,而不需要请求访问远程服务器上的网页。 浏览器端的缓存技术适用于保存服务器端的静态页面,以及不包含敏感数据的网页。以下情形中,服务器往往不希望页面被客户端缓存: 1、网页包含随时被更新的动态内容
静态扫描规则:不安全的加密算法
jimmyleeee的专栏
03-07 4786
今天使用一款SAST扫描不安全的加密算法时,发现一个很明显的代码段,居然没有扫描到,代码段如下: private static void testdes() { try { //Creating a KeyGenerator object KeyGenerator keyGen = KeyGenerator.getInstance("des"); //Creating a SecureRandom object SecureRandom secRandom = new S
2023年网络安全面试题(渗透测试):详细答案解析与最佳实践分享
weixin_43263566的博客
07-18 1万+
命令执行漏洞指攻击者可以随意执行系统命令的漏洞。当攻击成功后,攻击者可以继承Web服务程序的权限,执行任意代码、读写文件,甚至控制整个网站或服务器,甚至进一步进行内网渗透。内网攻击莫忽视:在流量分析过程中,不要忽视内网的攻击行为。内网攻击可能是来自恶意软件、僵尸网络或内部威胁等,及时发现和响应内网攻击至关重要。企图告警需排查:当发出告警信号时,需要仔细排查可能的企图行为。不仅要关注被攻击的目标,还要查看攻击者的来源、攻击方法和可能的目的,以便更好地理解攻击行为。
学习笔记:如何阻止Web应用存储敏感数据
dijiongyu7665的博客
09-30 271
在某些情况下,自定义Web应用保存敏感(专有)数据到用户的缓存文件夹中。如果不重新架构该应用,使用Sysinternals SDelete的注销脚本是否可以确保数据完全被删除且没有任何可恢复残留呢?Michael Cobb:Secure Delete或SDelete是Windows命令行使用程序,它可以用来安全地删除现有文件以及磁盘未分配部分的文件数据。然而,你并不能使用它...
RSA加密:Web前端登录账户密码加密传输
热门推荐
java李阳勇的博客
02-09 3万+
一般在做系统时候对安全性要求比较高,现在通常选择https协议来进行数据传输。很多情况下一般的javaweb网站,如果安全要求不是很高的话,用https协议就可以了。在这种情况下,密码的明文传输显然是不合适的,因为请求如果在传输过程中被截了,就可以直接拿明文密码登录网站了。 为了传输数据的安全、今天就采用RSA加密方式来进行加密。 实现方式思路: 编写加解密公共方法类--公钥方法--前端在向后台发起登录请求之前,先请求后台获取公钥的方法,然后经过加密之后再发起登录请求--前端代码需引入jse...
Java 使用Cipher类实现加密
马小果v:ma-xiaoguo的博客
02-02 607
~~ 一、先看一个简单加密,解密实现 ~~ 1.1 加密 /** * content: 加密内容 * slatKey: 加密的盐,16位字符串 * vectorKey: 加密的向量,16位字符串 */ public String encrypt(String content, String slatKey, String vectorKey) throws Exception { Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Paddin
一个登陆页面有哪些漏洞
04-21
一个登录页面可能存在以下漏洞: 1.弱密码:用户在注册账号和设置密码的时候,可能选择一个较为简单的密码,如生日、手机号、123456等,这使得账号更容易被攻击者恶意破解。 2.网络钓鱼:攻击者可能设置一个与正常登录页面相似的伪造网站(即“钓鱼网站”),并诱导用户通过这个网站登录,从而窃取用户账号和密码。 3.SQL注入攻击:攻击者可能针对登录页面中的代码漏洞,注入一些恶意的代码,从而获取用户的登录信息。 4.话劫持:攻击者可能通过监视用户网络流量或通过欺骗等手段,获取用户已登录账号的信息,从而在未经授权的情况下掌握用户账号的权限。 5.XSS攻击:攻击者可能通过恶意的脚本代码注入,攻击用户浏览器,从而获取用户账号和密码等信息。 以上是一些登录页面可能存在的漏洞,建议用户在使用登录页面时要保持警惕,并尝试避免使用相同的密码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值