是否有真正的理由在网页上隐藏异常?我能理解隐藏是为了不吓唬用户,但在我正在开发的网站上,不用担心吓到用户。我想如果你有隐藏异常的 SQL 注入(inject)漏洞实际上并不重要。
那么,有什么理由必须向用户隐藏网页上的异常情况呢?
最佳答案
I imagine if you have SQL injection holes hiding the exception wont actually matter.
哦,但它会的。它可以区分被发现和利用的漏洞,以及不被发现和利用的漏洞:)
作为唯一 安全措施的隐蔽性安全是危险的。但作为一个额外的是一件好事。
异常和错误信息
可以向攻击者提供有关代码构建方式的信息(例如,使用的库函数 - 如果其中一个可以被利用,将是灾难性的)
可以向攻击者提供有关底层系统的一般信息(操作系统/平台、服务器、使用的框架、版本......)
可以向攻击者提供有关站点路径结构和文件位置的信息。虽然这本身并不危险,但在利用 directory traversal 时这是有值(value)的信息。例如安全漏洞。
这是始终向公众隐藏此信息的充分理由。
关于.net - 为什么要在 Web 上隐藏异常?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3952971/