• <ins id="pjuwb"></ins>
    <blockquote id="pjuwb"><pre id="pjuwb"></pre></blockquote>
    <noscript id="pjuwb"></noscript>
          <sup id="pjuwb"><pre id="pjuwb"></pre></sup>
            <dd id="pjuwb"></dd>
            <abbr id="pjuwb"></abbr>

            小默

            【轉】WEB安全系列之六:信息泄露和不正確的錯誤處理

                * 此漏洞利用的重點在于應用程序未能正確處理自身發生的錯誤
                * 此漏洞的技術重點在于某些應用程序出錯時,會把錯誤信息反饋到用戶端,這些錯誤信息通??捎糜谡{試的目的
                * 此漏洞的方法重點在于從錯誤反饋信息中獲取有用的信息,從而加以利用,突破網站安全


                    當Web應用程序發生錯誤時,如果處理不得當,可能會把相關的錯誤信息反饋至客戶瀏覽器。

                    這種情況更多見于PHP+MySQL的Web應用,一些程序人員沒有正確的做異常處理,當發生錯誤里,系統向瀏覽器端返回了本來是用于調試目的的相關信息。這些信息往往可能含有重要的安全信息。

                    例如:某個網站的MySQL停止了運行,而這時用戶訪問此網站時,發現網頁提示如下信息:
                            MySQL Error:Lost connection to MySQL server during query
                    從這個回饋來看,用戶請求的頁所使用的數據庫是MySQL ! 這無疑暴露是安全人員所不希望看到的。

                    高明的入侵者,會盡可能的使其在頁面瀏覽或提交時,使用不正當的數據或方法,以此期望頁面產生錯誤回饋,從而利用這些信息完成入侵。

                    從服務器角度,關閉調試信息回饋功能,并且善用異常處理功能,可以盡可能避免此類安全漏洞。

            posted on 2010-04-14 15:04 小默 閱讀(726) 評論(0)  編輯 收藏 引用 所屬分類: Security

            導航

            統計

            留言簿(13)

            隨筆分類(287)

            隨筆檔案(289)

            漏洞

            搜索

            積分與排名

            最新評論

            閱讀排行榜

            亚洲AV无码久久精品成人| 国产三级久久久精品麻豆三级| 99久久99久久精品国产片| 99久久免费只有精品国产| 久久久久久av无码免费看大片 | 精品伊人久久久| 精品国产青草久久久久福利| 久久九九全国免费| 超级碰碰碰碰97久久久久| 国产精品视频久久久| 久久久久久久免费视频| 久久er热视频在这里精品| 亚洲а∨天堂久久精品9966| 成人国内精品久久久久影院| 亚洲欧美国产精品专区久久| 久久亚洲精品视频| 日韩人妻无码精品久久免费一| 久久国产三级无码一区二区| 97久久超碰国产精品旧版| 国产免费久久精品99re丫y| 国产高潮久久免费观看| 精品国际久久久久999波多野| 久久国产精品免费一区| 色综合久久88色综合天天| 久久99精品久久久久久动态图 | 国产精品一久久香蕉国产线看| 日本精品久久久久久久久免费| 色综合久久久久| 国产L精品国产亚洲区久久| 狠狠色丁香久久婷婷综合五月 | 亚洲国产精久久久久久久| 99久久精品毛片免费播放| 久久久久久九九99精品| 亚洲国产美女精品久久久久∴| 久久精品国产亚洲αv忘忧草 | 99久久中文字幕| 97久久超碰国产精品2021| 久久国产精品成人免费| 国产99久久九九精品无码| 久久青青草原精品国产不卡| 久久久久亚洲AV成人网人人软件|