在我的网站上进行了渗透测试。以下 JSON 已发送到该站点:
{
"name" : "Test',
}
这将提供以下错误(HTTP 状态代码为 400(:
{
"name": [
"Unterminated string. Expected delimiter: ". Path 'name', line 3, position 1.",
"Unexpected end when deserializing object. Path 'name', line 3, position 1."
]
}
渗透测试人员说我应该隐藏此错误,因为它可以提示我的系统漏洞。
这是对的吗?
在我们
研究您的代码以及您是否已考虑所有安全注意事项之前,答案不可能非常简单。但总的来说,不正确的错误处理可以揭示永远不应该透露的实现细节。这些细节可以为黑客提供有关网站潜在缺陷的重要线索。
有关更多详细信息,请参阅此 URL https://www.owasp.org/index.php/Improper_Error_Handling
例如,如果我是一名黑客,那么我将尝试收集有关您的反序列化逻辑的更多信息,并尝试打破它,正如您向我清楚地透露的那样。反序列化是 2017 年新增的 OWASP 十大安全问题之一。您可以参考以下链接了解更多详情
https://www.owasp.org/images/d/d7/Marshaller_Deserialization_Attacks.pdf.pdf