攻击者可以借助JAVA程序中e.printStackTrace()来揭示系统数据或调试信息,揭示的信息有助于攻击者制定攻击计划

Romantic_LI 2018-03-29 10:10:39
对于这种安全性能问题,如何去解决?通过异常处理吗,
...全文
628 4 打赏 收藏 转发到动态 举报
写回复
用AI写文章
4 条回复
切换为时间正序
请发表友善的回复…
发表回复
Defonds 2018-03-29
  • 打赏
  • 举报
 回复
你捕捉以后不仅要给客户端上边提到的那种显示,还要打 log 的。只不过客户端看不到你的 log
Romantic_LI 2018-03-29
  • 打赏
  • 举报
 回复
但是这样对于程序错误的堆栈信息提示就看不到了,也不方便开发过程中发现问题
Defonds 2018-03-29
  • 打赏
  • 举报
 回复
对。一个很模糊的异常处理后的提示,比如: 用户名不存在或密码错误
我纯洁全身都纯洁 2018-03-29
  • 打赏
  • 举报
 回复
即使打印了e.printStackTrace()也说明不了什么问题 如果你的系统需要登录,那么攻击者不登陆的情况下没法攻击你 如果攻击者注册个账号登陆了,理论上它可以任意使用有权限的接口,这就不算攻击了。 如果你的系统不需要登录就可以方法任意接口,说明你的接口是公共的,任何人都能用,那也不算是攻击。 我觉得攻击是找到你的系统漏洞,绕过你的所有校验去修改数据
e.printStackTrace()介绍
public void printStackTrace()将此 throwable 及其追踪输出至标准错误流。此方法将此 Throwable 对象的堆栈跟踪输出至错误输出流,作为字段 System.err 的值。输出的第一行包含此对象的 toString() 方法的结果。剩余行表示以前由方法 fillInStackTrace() 记录的数据。此信息的格式取决于实现,但以下示例是最常见的:java....
解决风险代码:System Information Leak
程序有关的信息(如其名称、 MIME 类型或设备软件版本),则此信息可能会泄露给窃听者。NFC 的通信范围仅局限于几厘米,也可能发生窃听、修改数据以及各种其他类型的攻击情况,因为 NFC 本。在某些情况下,该错误消息会告诉攻击系统易遭受的确切攻击类型。依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。编写错误消息时,始终要牢记安全性。在编码的过程,尽量避免使用繁复的消息,提倡使用简短的错误消。包括在发送到范围内其他设备的消息,或加密消息负载,或在更高层建立安全通信通道。
Fortify分析翻译4
10.System Information Leak(Data Flow): 10.1.BizApplicationApprovalBackingBean.java.      logger.error("BizApplicationApprovaBB 出错:" + e.getMessage()); 10.2.Revealing system data or debugging informati
绝对干货: 在Java项目打印错误日志的正确姿势,排查问题更方便,非常实用!...
点击上方“java数据修炼之道”,选择“设为星标”优质文章, 第一时间送达在程序打错误日志的主要目标是为更好地排查问题和解决问题提供重要线索和指导。但是在实际打的错误日志内容和格式...
JAVA编程常见缺陷总汇
Java缺陷的描述及修复建议参考
Web 开发

81,091

社区成员

341,719

社区内容

发帖
与我相关
我的任务
社区描述
Java Web 开发
社区管理员
  • Web 开发社区
加入社区
  • 近7日
  • 近30日
  • 至今

加载中

查看更多榜单
社区公告
暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章