Java异常泄露敏感信息_浅谈“异常信息泄露(应用程序错误)”

最新推荐文章于 2024-05-15 03:17:27 发布
最新推荐文章于 2024-05-15 03:17:27 发布
阅读量2.5k 收藏 1
点赞数
文章标签: Java异常泄露敏感信息
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36026454/article/details/114869050
版权

详细的各种修复方案请参考如下:

1.对于tomcat的中间件下,常用修复方式如下:找到配置文件web.xml,修改内容如下:

配置一个统一的静态页面,将400、403、404、500等常见报错重定向到该静态页面,而不是抛出异常(报错信息导致代码信息泄漏)。

java.lang.Throwable

/jsp/common/error.html

500

/jsp/common/error.html

404

/jsp/common/error.html

403

/jsp/common/error.hrml

2.对于常用的jsp语言开发的网站,可在业务流程中,加入异常捕获过程中预定义的错误编码,将异常输出到错误日志中,并在前台页面返回相应的错误编码,以便应用系统运维人员进行异常排查。代码参考:

try {

//某业务处理流程

……

} catch (Exception e) {

e.printStackTrace();

logger.error(e.getMessage());

resultMessage = getText("业务处理发生异常,错误编码A-04221!");

return "errorJsp";

}

3.对于IIS/ASP.net下设置404错误页面:这样,便可以保证IIS能够正确地返回“404”状态码:首先,修改应用程序根目录的设置,打开 “web.config” 文件编辑,在其中加入如下内容:

<configuration>

<system.web>

<customErrors mode=”On” defaultRedirect=”error.asp”>

<error statusCode=”404″ redirect=”notfound.asp” />

</customErrors>

</system.web>

</configuration>

注:上文例中“error.asp”为系统默认的404页面,“notfound.asp”为自定义的404页面,

使用时请修改相应文件名。然后,在自定义的404页面“notfound.asp”中加入将显示的代码页面,

如“not found”。

4.对于apache服务器的设置:修改 httpd.conf,找到如下:

#ErrorDocument 500 "The server made a boo boo."

#ErrorDocument 404 /missing.html

#ErrorDocument 404 "/cgi-bin/missing_handler.pl"

#ErrorDocument 402 http://www.example.com/subscription_info.html

httpd.conf中的这一部分,#ErrorDocument 404 /missing.html 是显示错误页信息的,去掉前面的#,修改为:ErrorDocument 404 /404.jsp

5.对于PHP中间件的使用者,可通过修改php.ini文件来实现如果关闭与开启错误信息,关闭错误显示后,php函数执行错误的信息将不会再显示给用户,这样能在一定程度上防止攻击者从错误信息得知脚本的物理位置,以及一些其它有用的信息,起码给攻击者的黑箱检测造成一定的障碍。这些错误信息可能对我们自己有用,可以让它写到指定文件中去,那么修改以下

log_errors = Off

改为:

log_errors = On

以及指定文件,找到下面这行:

;error_log = filename

去掉前面的;注释,把filename改为指定文件,如/usr/local/xxx/logs/php_error.log

error_log = /usr/local/xxx/logs/php_error.log

这样所有的错误都会写到php_error.log文件里。

6.对于J2EE项目开发的网站,如果想通过捕获抛出的异常信息的方式来修复,可以使用使用Spring MVC统一异常处理的方法来进行修复, Spring MVC处理异常有3种方式:

1.使用Spring MVC提供的简单异常处理器SimpleMappingExceptionResolver:

error-business

error-parameter

启动测试项目,经验证,各种层面所抛出的异常(业务异常BusinessException、

参数异常ParameterException和其它的异常Exception)都能准确显示定义的异常处理页面,

达到了统一异常处理的目标。使用SimpleMappingExceptionResolver进行异常处理,

具有集成简单、有良好的扩展性、对已有代码没有入侵性等优点,但该方法仅能获取到异常信息,

若在出现异常时,对需要获取除异常以外的数据的情况不适用。

2.实现Spring的异常处理接口HandlerExceptionResolver 自定义自己的异常处理器; 增加HandlerExceptionResolver 接口的实现类MyExceptionHandler,代码如下:

public class MyExceptionHandler implements HandlerExceptionResolver {

public ModelAndView resolveException(HttpServletRequest request, HttpServletResponse response, Object handler,

Exception ex) {

Mapmodel = new HashMap();

model.put("ex", ex);

// 根据不同错误转向不同页面

if(ex instanceof BusinessException) {

return new ModelAndView("error-business", model);

}else if(ex instanceof ParameterException) {

return new ModelAndView("error-parameter", model);

} else {

return new ModelAndView("error", model);

}

}

}

在Spring的配置文件applicationContext.xml中增加以下内容:

启动测试项目,经验证各种层抛出的异常(业务异常BusinessException、

参数异常ParameterException和其它的异常Exception)都能准确显示定义的异常处理页面,

达到了统一异常处理的目标,使用实现HandlerExceptionResolver接口的异常处理器进行异常处理,

具有集成简单、有良好的扩展性、对已有代码没有入侵性等优点,同时,

在异常处理时能获取导致出现异常的对象,有利于提供更详细的异常处理信息。

3.使用@ExceptionHandler注解实现异常处理;增加BaseController类,并在类中使用@ExceptionHandler注解声明异常处理,代码如下:

public class BaseController {

/** 基于@ExceptionHandler异常处理 */

@ExceptionHandler

public String exp(HttpServletRequest request, Exception ex) {

request.setAttribute("ex", ex);

// 根据不同错误转向不同页面

if(ex instanceof BusinessException) {

return "error-business";

}else if(ex instanceof ParameterException) {

return "error-parameter";

} else {

return "error";

}

}

}

修改代码,使所有需要异常处理的Controller都继承该类,如下所示,

修改后的TestController类继承于BaseController:

public class TestController extends BaseController

使用@ExceptionHandler注解实现异常处理,具有集成简单、有扩展性好

(只需要将要异常处理的Controller类继承于BaseController即可)、

不需要附加Spring配置等优点,但该方法对已有代码存在入侵性(需要修改已有代码,

使相关类继承于BaseController),在异常处理时不能获取除异常以外的数据

追不上的乌龟
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于漏洞"这个页面包含一个错误/警告信息,可能会导致敏感信息泄露"
qq_40085888的博客
05-08 2366
公司开发的软件.在用软件扫描漏洞时,扫出了这么一个漏洞. 可以看出有漏洞的地方是登录页面.在登录中,主要逻辑如下: 一些拒绝登录是通过抛异常->然后捕获异常->获取异常信息->跳回到登录页面并展示错误信息. @RequstMapping("login") public String login(LoginForm loginForm){ try{ ...
不正确的错误处理:API错误信息泄露内部信息结构
图幻未来的博客
01-29 410
在现代应用程序中,API(应用程序编程接口)已成为软件开发过程中的重要组成部分。API允许开发人员轻松地访问和调用其他软件组件的功能和数据。然而,在使用API时也会出现各种问题,其中之一就是如何处理返回的错误消息。本文将讨论如何在不正确地处理API错误信息的情况下可能导致的内部数据泄漏风险以及相应的解决方法。
敏感信息泄露漏洞_http敏感数据泄露
最新发布
2401_84972910的博客
05-15 1072
敏感信息(也称作敏感数据)是指由权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后,会产生不利于国家和组织的负面影响和利益损失,或不利于个人依法享有的个人隐私的所有信息敏感信息根据其信息种类的不同,可大致分为个人敏感信息、商业敏感信息、国家的敏感信息
delphi7aes加密解密与java互转_惊呆了!不改一行 Java 代码竟然就能轻松解决敏感信息加解密|原创
weixin_39610415的博客
11-21 281
前言出于安全考虑,现需要将数据库的中敏感信息加密存储到数据库中,但是正常业务交互还是需要使用明文数据,所以查询返回我们还需要经过相应的解密才能返回给调用方。❝ ps:日常开发中,我们要有一定的安全意识,对于密码,金融数据等敏感信息事实加密存储保护。 ❞这个需求说起来不是很难,我们只需要在执行 sql 之前,提前将指定数据进行加密。执行 sql 之后,获取返回结果,再进行的相应的解密。稍微改造下原有...
浅谈异常信息泄露应用程序错误)”
→_→
07-16 8231
一:漏洞名称: 未自定义统一错误页面导致信息泄露,抛出异常信息泄露错误详情信息泄漏 AWVS漏洞名称如下: Application error message Error message on page ASP.NET error message 描述: 1.如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序,那么应用程序可能会进入易受攻击的未定义状态。攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。 错误.
java exception信息_可能通过Java Exceptions暴露敏感信息
weixin_32312081的博客
02-21 470
当信任边界交叉时,是否可以通过Java Exceptions公开敏感应用程序或系统信息?我的意思是,不仅在理论上,而且如果在真实环境中发生这种情况.例如java.io.FileNotFoundException可能告诉调用者我的应用程序的文件系统结构等.java.util.ConcurrentModificationException可能会提供有关我的应用程序的非线程安全类的信息.这种情况可以用...
敏感信息泄露
LainWith的博客
08-24 6510
目录0x01 漏洞简介0x02 漏洞是怎么发生的0x03 漏洞危害0x04 测试方法操作系统版本中间件的类型、版本Web敏感信息网络信息泄露第三方软件应用敏感信息搜集工具0x05靶机演示错误信息导致信息泄露调试数据导致信息泄露备份文件导致信息泄露由于配置不当引发的信息泄露0x06 实战演示漏洞描述获取目标漏洞复现0x07漏洞修复参考 0x01 漏洞简介 敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等。 在程序
检测到错误页面web应用服务器版本信息泄露
lxyoucan的博客
07-14 2205
Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
浅谈java内存管理与内存溢出异常
08-29
Java内存管理是Java虚拟机(JVM)的关键组成部分,它主要负责对象的创建、分配、...总的来说,理解Java内存管理与内存溢出异常对于优化应用性能、防止系统崩溃至关重要。开发者应关注内存使用,确保程序高效且健壮。
浅谈Java内存泄露
08-26
理解并掌握这些知识对于开发健壮的Java应用程序至关重要,因为内存泄漏可能导致系统性能下降,严重时甚至会导致系统崩溃。因此,程序员应当养成良好的编程习惯,关注内存管理,避免出现内存泄漏问题。
信息安全_浅谈Android自动化审计.pptx
08-14
【静态污点分析】是一种重要的静态分析技术,如FlowDroid,它通过解析APK的清单文件、布局配置文件和Dex字节码来建立控制流图,追踪敏感数据(Sources)的流动路径,直到敏感操作(Sinks),以找出可能的数据泄露。...
浅谈Java编程中的内存泄露情况
09-03
Java编程中的内存泄露是一个重要的议题,尤其是在大型应用和服务器端编程中,良好的内存管理能确保系统的稳定性和性能。本文将深入探讨Java中的内存泄露及其相关的JVM垃圾回收机制。 首先,与C++等语言不同,Java...
浅谈Java中的atomic包实现原理及应用
08-28
Java中的atomic包实现原理及应用 本文主要介绍了Java中的atomic包实现原理及应用,涉及Atomic在硬件上的支持、Atomic包简介及源码分析等相关内容。 Atomic在硬件上的支持 在单处理器系统中,能够在单条指令中...
java敏感异常列表_j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!...
weixin_34430692的博客
02-27 922
j2ee应用异常信息处理不当,可能导致的安全问题:敏感信息泄露及XSS!shine | 2013-01-22 14:35//这个以前在空间里有简要说明过这个常见的小问题,也把它搬到乌云来放在一起,以后好找点!Java异常处理机制(Exception)简要说明:Java中它是由Trowable类的两个子类的两大部分组成,Error类和Exception类。Error是不推荐捕获的(请查看Java异常...
【web-利用信息泄露】(10.1)利用错误消息
08-31 1333
【利用错误消息
应用安全系列之三十一:信息泄露
jimmyleeee的专栏
04-12 2718
当攻击者攻击某个系统时,首先要做的就是收集目标系统的信息,然后,根据收集的信息再搜索可能存在的漏洞,对系统发起攻击。 当系统的实现或者配置不正确时,却正好可以提供攻击者想要的信息,下面就列出一些容易出现信息泄露的方面。 业务逻辑的提示信息 业务逻辑设计时会涉及到错去的情况如何处理,提示什么信息,提示的信息如果不注意处理,就可能会导致信息泄露。例如:登录时提示用户名是否有效,就可能被用于发起用户枚举攻击;当访问某个内部对象的时候,提示此对象不存在,就可以收集内部存在的对象信息等等。 针对此种情况,一般
【悟空云课堂】第二十六期:通过错误消息导致信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 584
【悟空云课堂】第二十六期:通过错误消息导致信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致信息暴露缺陷? 软件会生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
java try catch陷阱_java异常捕捉陷阱(内存泄漏,finally块,catch块,继承得到的异常)...
weixin_36444104的博客
03-07 337
1. 异常捕捉的陷阱异常处理机制是java语言的特色之一,尤其是java语言的Checked异常,更是体现了java语言的严谨性:没有完善错误处理的代码根本不会被执行。对于Checked异常java程序要么声明抛出,要么使用try……catch进行捕获。1.1 正确关闭资源的方式在实际开发中,经常需要在程序中打开一些物理资源,如数据库连接,网络连接,磁盘文件等,打开这些物理资源之后必须显...
web安全 应用程序错误威胁
金溪的博客
09-13 2782
描述  如果攻击者通过伪造包含非应用程序预期的参数或参数值的请求,来探测应用程序,那么应用程序可能会进入易受攻击的未定义状态。攻击者可以从应用程序对该请求的响应中获取有用的信息,且可利用该信息,以找出应用程序的弱点。 错误消息泄露重要信息的另一个原因,是脚本编译引擎,web服务器或数据库配置错误。   以下是一些不同的变体: (1)去掉参数。 (2)去掉参数值。 (3)将参数值设置...
java页面错误封装_Java异常封装(自定义错误信息和描述)
05-24
Java开发中,当程序发生异常时,我们往往需要对异常进行封装,以便更好地描述错误信息和方便后续的处理。下面是一个简单的Java异常封装的示例: ```java public class MyException extends RuntimeException { private String message; // 错误信息 private String description; // 错误描述 public MyException(String message, String description) { super(); this.message = message; this.description = description; } public String getMessage() { return message; } public String getDescription() { return description; } } ``` 在上述代码中,我们定义了一个继承自RuntimeException的自定义异常类MyException,其中包含了错误信息错误描述两个属性,以及一个构造方法用于初始化这两个属性。 当程序出现异常时,我们可以通过抛出MyException来封装异常信息,例如: ```java public void test() { try { // 程序代码 } catch (Exception e) { throw new MyException("错误信息", "错误描述"); } } ``` 在捕获到程序异常后,我们可以通过new MyException()来抛出一个自定义异常,并在构造方法中传入错误信息错误描述。这样做的好处是,我们可以在后续的处理中通过调用getMessage()和getDescription()方法来获取异常信息,从而更好地定位错误和进行错误处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值