java敏感异常列表_j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!...

最新推荐文章于 2022-05-06 21:41:33 发布
最新推荐文章于 2022-05-06 21:41:33 发布
阅读量922 收藏
点赞数
文章标签: java敏感异常列表
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34430692/article/details/114826046
版权

j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!

shine | 2013-01-22 14:35

//这个以前在空间里有简要说明过这个常见的小问题,也把它搬到乌云来放在一起,以后好找点!

Java异常处理机制(Exception)简要说明:Java中它是由Trowable类的两个子类的两大部分组成,Error类和Exception类。Error是不推荐捕获的(请查看Java异常处理机制中Error与Exception的区别),而Exception类除了子类RuntimeException是不能被捕获,其他子类的异常必须捕获,简单来讲,就产生异常信息了。

但Exception产生异常信息的过程有个特点,当发生异常时,异常抛给调用该函数的上一级函数,直到出现包含异常处理(catch)的层为止,这个给开发者在程序调试中带来很大的方便,能够快速定位问题所在等,看这段异常信息:

org.springframework.dao.DataIntegrityViolationException: could not execute query; SQL [

select AdContentId,ContentDesc,ContentType,ContentSize,ContentUrl

from AAS_BIZ_AdContent

where 1=1

and AdInfoId = ?

and contentType = ?

order by AdInfoId ,ContentSize

]; nested exception is org.hibernate.exception.DataException: could not execute query

at org.springframework.orm.hibernate3.SessionFactoryUtils.convertHibernateAccessException(SessionFactoryUtils.java:642)

at org.springframework.orm.hibernate3.HibernateAccessor.convertHibernateAccessException(HibernateAccessor.java:412)

at org.springframework.orm.hibernate3.HibernateTemplate.doExecute(HibernateTemplate.java:411)

at org.springframework.orm.hibernate3.HibernateTemplate.executeFind(HibernateTemplate.java:343)

at com.suning.framework.dao.UniversalDaoHibernate.queryListBySql(UniversalDaoHibernate.java:567)

at com.suning.framework.dao.UniversalDaoHibernate.queryListBySql(UniversalDaoHibernate.java:554)

at com.suning.aas.ad.dao.hibernate.AdContentDaoHibernate.searchContent(AdContentDaoHibernate.java:40)

at com.suning.aas.ad.logic.impl.AdInfoBizImpl.searchContent(AdInfoBizImpl.java:100)

at sun.reflect.GeneratedMethodAccessor267.invoke(Unknown Source)

at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

at java.lang.reflect.Method.invoke(Method.java:600)

at org.springframework.aop.support.AopUtils.invokeJoinpointUsingReflection(AopUtils.java:309)

at org.springframework.aop.framework.ReflectiveMethodInvocation.invokeJoinpoint(ReflectiveMethodInvocation.java:183)

at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:149)

at com.suning.framework.template.ServiceInterceptor.invoke(ServiceInterceptor.java:86)

at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)

at org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:202)

at $Proxy53.searchContent(Unknown Source)

at com.suning.aas.portal.adsearch.action.ChannelAdAction.orderPage(ChannelAdAction.java:152)

at sun.reflect.GeneratedMethodAccessor358.invoke(Unknown Source)

at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)

at java.lang.reflect.Method.invoke(Method.java:600)

at com.opensymphony.xwork2.DefaultActionInvocation.invokeAction(DefaultActionInvocation.java:441)

at com.opensymphony.xwork2.DefaultActionInvocation.invokeActionOnly(DefaultActionInvocation.java:280)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:243)

at com.opensymphony.xwork2.validator.ValidationInterceptor.doIntercept(ValidationInterceptor.java:252)

at org.apache.struts2.interceptor.validation.AnnotationValidationInterceptor.doIntercept(AnnotationValidationInterceptor.java:68)

at com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:87)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ConversionErrorInterceptor.intercept(ConversionErrorInterceptor.java:122)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ParametersInterceptor.doIntercept(ParametersInterceptor.java:195)

at com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:87)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ParametersInterceptor.doIntercept(ParametersInterceptor.java:195)

at com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:87)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.StaticParametersInterceptor.intercept(StaticParametersInterceptor.java:179)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at org.apache.struts2.interceptor.FileUploadInterceptor.intercept(FileUploadInterceptor.java:235)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ModelDrivenInterceptor.intercept(ModelDrivenInterceptor.java:89)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ChainingInterceptor.intercept(ChainingInterceptor.java:126)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.PrepareInterceptor.doIntercept(PrepareInterceptor.java:138)

at com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:87)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at org.apache.struts2.interceptor.ServletConfigInterceptor.intercept(ServletConfigInterceptor.java:164)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ParametersInterceptor.doIntercept(ParametersInterceptor.java:195)

at com.opensymphony.xwork2.interceptor.MethodFilterInterceptor.intercept(MethodFilterInterceptor.java:87)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at org.apache.struts2.interceptor.MultiselectInterceptor.intercept(MultiselectInterceptor.java:75)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at org.apache.struts2.interceptor.CheckboxInterceptor.intercept(CheckboxInterceptor.java:94)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.I18nInterceptor.intercept(I18nInterceptor.java:165)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.AliasInterceptor.intercept(AliasInterceptor.java:179)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.opensymphony.xwork2.interceptor.ExceptionMappingInterceptor.intercept(ExceptionMappingInterceptor.java:176)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at com.suning.aas.common.web.interceptor.ActionAccessTimeInterceptor.intercept(ActionAccessTimeInterceptor.java:96)

at com.opensymphony.xwork2.DefaultActionInvocation.invoke(DefaultActionInvocation.java:237)

at org.apache.struts2.impl.StrutsActionProxy.execute(StrutsActionProxy.java:52)

at org.apache.struts2.dispatcher.Dispatcher.serviceAction(Dispatcher.java:488)

at org.apache.struts2.dispatcher.ng.ExecuteOperations.executeAction(ExecuteOperations.java:77)

at org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter.doFilter(StrutsPrepareAndExecuteFilter.java:91)

at com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter(FilterInstanceWrapper.java:188)

at com.ibm.ws.webcontainer.filter.WebAppFilterChain.doFilter(WebAppFilterChain.java:116)

at com.suning.aas.portal.web.filer.AuthFilter.doFilter(AuthFilter.java:163)

at com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter(FilterInstanceWrapper.java:188)

at com.ibm.ws.webcontainer.filter.WebAppFilterChain.doFilter(WebAppFilterChain.java:116)

at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:88)

at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:76)

at com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter(FilterInstanceWrapper.java:188)

at com.ibm.ws.webcontainer.filter.WebAppFilterChain.doFilter(WebAppFilterChain.java:116)

at com.ibm.ws.webcontainer.filter.WebAppFilterChain._doFilter(WebAppFilterChain.java:77)

at com.ibm.ws.webcontainer.filter.WebAppFilterManager.doFilter(WebAppFilterManager.java:908)

at com.ibm.ws.webcontainer.filter.WebAppFilterManager.invokeFilters(WebAppFilterManager.java:997)

at com.ibm.ws.webcontainer.extension.DefaultExtensionProcessor.invokeFilters(DefaultExtensionProcessor.java:985)

at com.ibm.ws.webcontainer.extension.DefaultExtensionProcessor.handleRequest(DefaultExtensionProcessor.java:905)

at com.ibm.ws.webcontainer.webapp.WebApp.handleRequest(WebApp.java:3826)

at com.ibm.ws.webcontainer.webapp.WebGroup.handleRequest(WebGroup.java:276)

at com.ibm.ws.webcontainer.WebContainer.handleRequest(WebContainer.java:931)

at com.ibm.ws.webcontainer.WSWebContainer.handleRequest(WSWebContainer.java:1583)

at com.ibm.ws.webcontainer.channel.WCChannelLink.ready(WCChannelLink.java:186)

at com.ibm.ws.http.channel.inbound.impl.HttpInboundLink.handleDiscrimination(HttpInboundLink.java:445)

at com.ibm.ws.http.channel.inbound.impl.HttpInboundLink.handleNewRequest(HttpInboundLink.java:504)

at com.ibm.ws.http.channel.inbound.impl.HttpInboundLink.processRequest(HttpInboundLink.java:301)

at com.ibm.ws.http.channel.inbound.impl.HttpICLReadCallback.complete(HttpICLReadCallback.java:83)

at com.ibm.ws.tcp.channel.impl.AioReadCompletionListener.futureCompleted(AioReadCompletionListener.java:165)

at com.ibm.io.async.AbstractAsyncFuture.invokeCallback(AbstractAsyncFuture.java:217)

at com.ibm.io.async.AsyncChannelFuture.fireCompletionActions(AsyncChannelFuture.java:161)

at com.ibm.io.async.AsyncFuture.completed(AsyncFuture.java:138)

at com.ibm.io.async.ResultHandler.complete(ResultHandler.java:204)

at com.ibm.io.async.ResultHandler.runEventProcessingLoop(ResultHandler.java:775)

at com.ibm.io.async.ResultHandler$2.run(ResultHandler.java:905)

at com.ibm.ws.util.ThreadPool$Worker.run(ThreadPool.java:1563)

注意到,它一直从具体代码所在的函数到所用框架层的函数最后到web容器层等函数都走了一遍。

形成敏感信息泄露的场景:如果开发者自己不去处理这个异常,最后默认会通过web容器暴露给用户,而这些异常信息都包含了应用所使用的组件名称等,对于攻击者来讲,增加了不少可利用的信息,导致敏感信息泄露。

乌云实际攻击利用案例(在重要一个环节中被利用到):WooYun: 乐视网j2ee应用的安全问题!

形成XSS的场景:与上面场景不同的地方有两个:

1、如果开发者自己处理了异常信息但还是向用户抛出(在实际开发中这情况还不少,还做个用户体验页面,让用户把这些异常信息反馈给管理员(当然,开发者本意是好的!)。)

2、带有用户输入而又未做XSS防御处理的数据输出(攻击者的恶意代码)。

如图:

2013012214245353404.png

2013012214280620284.png

当然,如果最后默认是交给容器处理输出,是不会有这问题,如图:

2013012214304645010.png

2013012214310941707.png

乌云案例(XSS部分):http://www.wooyun.org/bugs/wooyun-2012-015544

何堤森
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java哪些异常可能导致敏感信息泄露_java开发安全策略_风险漏洞与解决方案
weixin_39844284的博客
03-02 3073
项目语言:java项目环境:JDK1.8Web服务器Nginx+tomcat数据库mysql前端技术bootstrap+layui+jquery+ajax后端技术maven+springboot+shiro+jpa+druid+log4j1、 敏感信息泄露a) 漏洞描述:敏感信息泄露漏洞,是一种通过提交错误请求,使系统出现异常处理并报错,并且将系统程序、配置、路径、类、方法 等敏感信息泄露出来的漏...
Java异常泄露敏感信息_浅谈“异常信息泄露应用程序错误)”
weixin_36026454的博客
02-28 2500
详细的各种修复方案请参考如下:1.对于tomcat的中间件下,常用修复方式如下:找到配置文件web.xml,修改内容如下:配置一个统一的静态页面,将400、403、404、500等常见报错重定向到该静态页面,而不是抛出异常(报错信息导致代码信息泄漏)。java.lang.Throwable/jsp/common/error.html500/jsp/common/error.html404/jsp/...
ajax调用异常信息列表
06-13 994
// 属性:readyState// 返回XMLHTTP请求的当前状态// 语法:lValue = oXMLHttpRequest.readyState;// 备注:变量,此属性只读,状态用长度为4的整型表示.定义如下:// 0 (未初始化) 对象已建立,但是尚未初始化(尚未调用open方法) // 1 (初始化) 对象已建立,尚未调用send方法 // 2 (发送数据) send方法已调用,但是
java exception信息_可能通过Java Exceptions暴露敏感信息
weixin_32312081的博客
02-21 471
当信任边界交叉时,是否可以通过Java Exceptions公开敏感应用程序或系统信息?我的意思是,不仅在理论上,而且如果在真实环境中发生这种情况.例如java.io.FileNotFoundException可能告诉调用者我的应用程序的文件系统结构等.java.util.ConcurrentModificationException可能会提供有关我的应用程序的非线程安全类的信息.这种情况可以用...
常见异常列表
weixin_33882443的博客
04-26 127
IllegalArgumentException 参数值不合适 IllegalStateException 对这个方法的调用而言,对象状态不合适 NullPointException 空指针 IndexOfBoundException 下标越界 ConcurrentModificationException 在禁止并发修改的情况下,对象检测到并发修改 UnsupportedOperati...
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
这种攻击方式通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到网页上,当其他用户访问这些被污染的页面时,恶意脚本就会被执行,从而可能导致个人信息泄露、账户劫持等严重...
xml-security-c-1.0.0.zip_.xml.security_java security_xml securi_
09-22
XSLT常用于转换XML文档,但如果不慎使用,可能导致跨站脚本(XSS)或命令注入等攻击。"xml-stylesheet.txt"可能是一个指示XML文档如何转换的外部样式表文件,理解和保护这部分是防止恶意XSLT攻击的关键。 在实践...
BBS.rar_BBS.rar_bbs s_java BBS_留言_论坛 java
09-20
- **安全编程**:防止SQL注入、XSS攻击等网络安全问题。 - **权限控制**:如角色-权限模型,实现不同用户有不同的操作权限。 此外,开发过程中还需要考虑性能优化、用户体验、错误处理和日志记录等方面,确保系统的...
Web应用安全XSS安全隐患产生原因.pptx
06-18
Web应用安全领域中,XSS(Cross-Site Scripting,跨站脚本)是一种常见的安全隐患,它主要源于网站对用户输入的数据处理不当,允许恶意的JavaScript代码未经验证就嵌入到网页中,进而影响到访问该网页的用户。XSS...
BBS.rar_bbs_bbs. java
09-19
9. **异常处理**:编写健壮的代码,妥善处理可能出现的错误异常。 10. **测试**:单元测试、集成测试确保代码质量和系统稳定性。 11. **缓存机制**:如Redis,提高高访问量数据的读取速度。 12. **安全防护**:...
安全测试-敏感信息
天道酬勤
05-06 863
临时产生的敏感数据(写入内存或文件),应具有及时清除和释放机制 不要在HTTP GET请求参数中包含敏感信息,如用户名、密码、卡号、ID等 禁止表单中的自动填充功能,因为表单中可能包含敏感信息,包括身份验证信息 不要在客户端上以明文形式保存密码或其他敏感信息 为所有敏感信息采用SSL加密传输 禁止将敏感信息(包含加密秘钥等)硬编码在程序中 禁止明文存储用户的密码、身份证号、银行卡号、持卡人姓名等敏感信息 不要在日志中保存敏感信息,包含但不限于系统详细信息、会话标识符、密码等 禁止在异常泄露应用服务器的..
哪些是常见的敏感异常Java_java敏感异常有哪些
weixin_34869021的博客
02-24 7622
java敏感异常有:1、【java.io.FileNotFoundException泄露文件系统结构和文件名列举;2、【java.util.jar.JarException泄露文件系统结构。java敏感异常有:1、java.io.FileNotFoundException泄露文件系统结构和文件名列举2、java.util.jar.JarException泄露文件系统结构3、java.uti...
java常见的敏感异常
小鲁班-JAVA开发
05-10 1万+
1、java.io.FileNotFoundException泄露文件系统结构和文件名列举 2、ava.util.jar.JarException泄露文件系统结构 3、java.util.MissingResourceException:资源列举 4、java.security.acl.NotOwnerException:所有人列举 5、java.util.ConcurrentModificationException可能提供线程不安全的代码信息 6、javax.naming.Insufficien
创建项目,使用Struts和Hibernate等框架出现的异常,以及步步地处理的过程
風的博客
12-02 631
[使用MyEclipse,JDK1.7] 我招谁惹谁了????创建过那么多次项目,都没有报错过,怎么刚完成个"销售管理系统",我回来做简单的上机练习,就出了这么多之前未预见过的?!?!?!?(学识浅薄,见识短呐) 好吧,"没有解决不了的问题,只有问题不会解决"!!!!! 严重: Servlet.service() for servlet jsp threw exception Th...
Unknown integral data type for ids : java.lang.String; nested exception is org.hibernate.id.Identifi
泽宇的博客
01-04 2342
  被这个错误困扰了很久,终于在博主这里找到了答案1.发生的异常内容: org.springframework.orm.hibernate5.HibernateSystemException: Unknown integral data type for ids : java.lang.String; nested exception is org.hibernate.id.Identifie...
struts2:Exception occurred during processing request: null
热门推荐
仰望星空
10-11 2万+
今天编写了struts2中通过token防止表单的重复提交,实现的过程中出现了struts2:Exception occurred during processing request: null异常 具体代码如下: 警告: Form token H1EAQ2YY2YACW9RCY48RPM33PISDFECY does not match the session token 2SYPDEUH6
struts2上传异常
qq576341837的博客
10-27 471
错误如下: 浏览器:net::ERR_CONNECTION_RESET java控制台: ERROR ExceptionMappingInterceptor Invalid action class configuration that references an unknown class named [handleMusicAction] java.lang.RuntimeExcept
Could not find action or result
weixin_30500289的博客
02-13 99
No result defined for action struts.user.action.loginUser and result success at com.opensymphony.xwork2.DefaultActionInvocation.executeResult(DefaultActionInvocation.java:375) at com.opensymphony.xwor...
idea 报错 安全过滤配置文件xss_security_config.xml加载异常
最新发布
09-06
当我们遇到"idea 报错 安全过滤配置文件xss_security_config.xml加载异常"这个问题时,表示我们的IDEA开发环境无法正确加载xss_security_config.xml文件。xss_security_config.xml是一种安全过滤配置文件,用于防止跨站脚本攻击(Cross-Site Scripting,XSS)。 这个问题可能由以下原因引起: 1. xss_security_config.xml文件路径错误或不存在。 解决方法:检查文件路径是否正确,并确保该文件存在于指定位置。 2. xss_security_config.xml文件格式错误。 解决方法:检查文件内容确保其与安全过滤配置的要求一致。 3. IDEA开发环境设置错误。 解决方法:检查IDEA的安全配置,并确保其正确加载xss_security_config.xml文件。 4. xss_security_config.xml文件损坏。 解决方法:如果文件损坏,可以尝试从备份文件中恢复,或者重新下载该文件。 为了解决这个问题,我们可以采取以下步骤: 1. 确认xss_security_config.xml文件路径是否正确,并检查文件是否存在。 2. 检查xss_security_config.xml文件内容是否正确。 3. 检查IDEA的安全配置,确保其正确加载xss_security_config.xml文件。 4. 如果文件损坏,尝试从备份文件中恢复,或者重新下载该文件。 5. 如果以上步骤都无效,可以尝试重启IDEA或重新安装IDEA。 希望以上回答能够帮助您解决这个问题,如果还有其他疑问,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值