java exception信息_可能通过Java Exceptions暴露敏感信息?

最新推荐文章于 2022-12-11 22:16:00 发布
最新推荐文章于 2022-12-11 22:16:00 发布
阅读量480 收藏 1
点赞数
文章标签: java exception信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32312081/article/details/114448143
版权
本文探讨了如何防止通过Java异常泄露应用程序的敏感信息,如文件系统结构和非线程安全类信息。建议避免在日志中输出堆栈跟踪,仅使用自定义消息,并在必要时清理异常消息。同时,强调了在客户端-服务器通信中,错误信息应针对用户需求定制,而非暴露内部细节。理想的异常处理应兼顾安全和调试需求。
摘要由CSDN通过智能技术生成

当信任边界交叉时,是否可以通过

Java Exceptions公开敏感的应用程序或系统信息?

我的意思是,不仅在理论上,而且如果在真实环境中发生这种情况.

例如java.io.FileNotFoundException可能告诉调用者我的应用程序的文件系统结构等.

java.util.ConcurrentModificationException

可能会提供有关我的应用程序的非线程安全类的信息.

这种情况可以用以下两种方式处理吗?

>使用Sysouts(仅使用自定义消息)而不是为其他人访问的代码抛出异常?

>如果强制要求抛出异常,请清理消息然后抛出异常

我也想知道点#2是否完全可以避免,并且没有任何强制性情况可以抛出异常.

我的问题不是任何特定的应用程序,而是编程实践(在两个不同的银行等大型企业中需要进行应用程序间通信).

最佳答案 暴露敏感信息的最常见方式是为程序的用户(客户端)提供堆栈跟踪.

堆栈跟踪对于调试问题的程序员非常有用,而对其他任何人都没有用.因此,日志代码不应该输出堆栈跟踪.只有当异常表明程序中存在错误时,才应输出它们.并且应该将它们输出到可供程序员使用的地方,但应尽可能少地输出.

如果程序的日志文件对程序的普通用户不可见,但管理员可以看到(如服务器的情况),那么这是记录堆栈跟踪的适当位置.

类似的论点适用于其他敏感信息.

对于客户端 – 服务器程序,客户端不关心服务器无法处理客户端发送的请求的详细信息.他们需要知道请求确实失败了.如果请求因服务器问题而失败,而不是客户端的错误请求,则需要知道是这种情况,因此他们可以联系管理员来修复服务器.如果请求因客户端发送错误请求而失败,则应告知客户端,并描述有关请求的错误,以便客户端发送更正的请求.

cwloe
关注
多种方法解决java.sql.SQLSyntaxErrorException: Unknown database ‘xxx‘的错误
念兮为美
02-21 7767
多种方法解决java.sql.SQLSyntaxErrorException: Unknown database ‘xxx‘的错误,比如数据库名不存在导致Unknown database ‘xxx‘的错误;数据库设置了大小写导致Unknown database ‘xxx‘的错误;数据库不存在导致Unknown database ‘xxx‘的错误
Java基础知识面试题(二)(英语答案)
最新发布
知识改变命运,ヾ(◍°∇°◍)ノ゙【求关注】
09-11 603
汇总Java基础知识英语面试题
Java异常泄露敏感信息_JAVA的异常处理机制
weixin_35651916的博客
02-28 1490
Throwable是所有类的超类Error类是指java运行时系统的内部错误和资源耗尽错误。应用程序不会抛出该类对象。如果出现了这样的错误,除了告知用户,剩下的就是尽力使程序安全的终止Exception又有两个分支,一个是运行时异常RuntimeException(不需要声明抛出),如:NullPointerException、ClassCastException;一个是检查异常CheckedE...
java敏感异常列表_j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!...
weixin_34430692的博客
02-27 958
j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!shine | 2013-01-22 14:35//这个以前在空间里有简要说明过这个常见的小问题,也把它搬到乌云来放在一起,以后好找点!Java异常处理机制(Exception)简要说明:Java中它是由Trowable类的两个子类的两大部分组成,Error类和Exception类。Error是不推荐捕获的(请查看Java异常...
Java异常泄露敏感信息_浅谈“异常信息泄露(应用程序错误)”
weixin_36026454的博客
02-28 2583
详细的各种修复方案请参考如下:1.对于tomcat的中间件下,常用修复方式如下:找到配置文件web.xml,修改内容如下:配置一个统一的静态页面,将400、403、404、500等常见报错重定向到该静态页面,而不是抛出异常(报错信息导致代码信息泄漏)。java.lang.Throwable/jsp/common/error.html500/jsp/common/error.html404/jsp/...
java哪些异常可能导致敏感信息泄露_java开发安全策略_风险漏洞与解决方案
weixin_39844284的博客
03-02 3143
项目语言:java项目环境:JDK1.8Web服务器Nginx+tomcat数据库mysql前端技术bootstrap+layui+jquery+ajax后端技术maven+springboot+shiro+jpa+druid+log4j1、 敏感信息泄露a) 漏洞描述:敏感信息泄露漏洞,是一种通过提交错误请求,使系统出现异常处理并报错,并且将系统程序、配置、路径、类、方法 等敏感信息泄露出来的漏...
java收集Exception信息
CodeHarvest的博客
04-27 586
public void methodB() { System.out.println("------进入methodB----------"); // init(); String str1 = null; String str2 = "123"; try{ if(str1.equals(str2
Java Exception
我的博客
12-11 354
Java Exception
JAVA程序设计_第7章1
08-03
它们通常在运行时才会暴露,但同样可以通过try-catch块来捕获。 异常处理的基本结构包括try、catch、finally和throw关键字。例如: ```java try { // 可能抛出异常的代码 } catch (IOException e) { // 处理...
Java 虚拟机:JVM是怎么实现invokedynamic的?(下)
码农架构
02-14 438
文章收录地址:Java-Bang 专注于系统架构、高可用、高性能、高并发类技术分享 上回讲到,为了让所有的动物都能参加赛马,Java 7 引入了 invokedynamic 机制,允许调用任意类的“赛跑”方法。不过,我们并没有讲解 invokedynamic,而是深入地探讨了它所依赖的方法句柄。 今天,我便来正式地介绍 invokedynamic 指令,讲讲它是如何生成调用点,并且允许应用程序自己决定链接至哪一个方法中的。 invokedynamic 指令 invokedynamic 是 Ja.
java导致敏感信息泄漏的异常_金蝶AES系统Java web配置文件敏感信息泄露漏洞
weixin_42123296的博客
03-09 887
### 0x01 漏洞框架金蝶软件始创于1993年,是一家ERP、财务等企业管理软件厂商,拥有官网(kigndee.com)、友商网(youshang.com)、快递100(kuaidi100.com)、云之家(kdweibo.com)等互联网业务应用官方主页:www.kingdee.com客户案例:![](https://images.seebug.org/contribute/f1e376de...
【软件构造HIT】Java可能引起表示泄露的原因+避免表示泄露的方法总结
qq_59197407的博客
06-14 357
表示泄露就是指用户不通过我们ADT提供的方法,就可以修改ADT的内容,出现不必要的麻烦。这种情况下,内部的数据结构就被泄露出去了,外部client可以看到或直接对我们的数据进行操作。这种风险即影响ADT的不变量RI(因为用户修改属性的值可能不再满足RI),也会影响到表示独立性(外部用户的使用已经与内部的实现产生了依赖),所以会出现许多难以处理的麻烦。所以对于一个ADT来说,最重要的就是RI和避免表示泄露。下面来总结一下可能出现表示泄露的原因以及如何预防表示泄露。...
java常见的敏感异常
m0_67265464的博客
03-21 1479
1、java.io.FileNotFoundException泄露文件系统结构和文件名列举 2、ava.util.jar.JarException泄露文件系统结构 3、java.util.MissingResourceException:资源列举 4、java.security.acl.NotOwnerException:所有人列举 5、java.util.ConcurrentModificationException可能提供线程不安全的代码信息 6、javax.naming.Insufficien
Java 中发生内存泄漏 5 个场景以及解决方法
热门推荐
养歌的博客
01-20 1万+
前言 说到垃圾回收(Garbage Collection,GC),很多人就会自然而然地把它和 Java 联系起来。在 Java 中,程序员不需要去关心内存动态分配和垃圾回收的问题,这一切都交给了JVM 来处理。顾名思义,垃圾回收就是释放垃圾占用的空间,但垃圾回收器并不是万能的,它能够处理大部分场景下的内存清理、内存泄露以及内存优化。但它也并不是万能的,不然我们在项目实践过程中也不会出现那么多的内存泄漏的问题,很多的内存泄漏都是因为开发人员操作不当导致的。 本篇文章我们就来聊聊内存泄露的原因是什么,以及如何在
Java学习(六)异常
weixin_51760209的博客
04-05 1088
Java异常前言一、异常概述1、异常的概念2、异常的体系结构3、异常处理机制二、捕获异常1、单catch处理语句2、多catch处理语句3、try…catch…finally语句4、自动关闭资源的try语句5、嵌套的try...catch语句6、多异常捕获三、抛出异常1、throw抛出异常对象2、throws声明抛出异常序列四、自定义异常五、垃圾收集机制习题——内存解析 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,
delphi7aes加密解密与java互转_惊呆了!不改一行 Java 代码竟然就能轻松解决敏感信息加解密|原创
weixin_39610415的博客
11-21 294
前言出于安全考虑,现需要将数据库的中敏感信息加密存储到数据库中,但是正常业务交互还是需要使用明文数据,所以查询返回我们还需要经过相应的解密才能返回给调用方。❝ ps:日常开发中,我们要有一定的安全意识,对于密码,金融数据等敏感信息事实加密存储保护。 ❞这个需求说起来不是很难,我们只需要在执行 sql 之前,提前将指定数据进行加密。执行 sql 之后,获取返回结果,再进行的相应的解密。稍微改造下原有...
Java中七个潜在的内存泄露风险,你知道几个?
DD_Dddd的博客
03-22 7940
虽然Java程序员不用像C/C++程序员那样时刻关注内存的使用情况,JVM会帮我们处理好这些,但并不是说有了GC就可以高枕无忧,内存泄露相关的问题一般在测试的时候很难发现,一旦上线流量起来,立刻就是一个线上故障。 1. 内存泄露的定义 如果GC无法回收内存中不再使用的对象,则定义为内存有泄露 2. 未关闭的资源类 当我们在程序中打开一个新的流或者是新建一个网络连接的时候,JVM都会为这些资源类分配内存做缓存,常见的资源类有网络连接,数据库连接以及IO流。值得注意的是,如果在业务处理中异常,则有可能导致程序不
java生成docx_JAVA通过模板生成DOCX文档
05-30
可以使用Apache POI和FreeMarker来实现Java生成docx文档的功能。以下是一个简单的示例,演示如何使用这两个库来生成docx文档。 1. 首先,你需要在项目中导入Apache POI和FreeMarker的依赖。这可以在pom.xml文件中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值