社区
Web 开发
帖子详情
攻击者可以借助JAVA程序中e.printStackTrace()来揭示系统数据或调试信息,揭示的信息有助于攻击者制定攻击计划
Romantic_LI
2018-03-29 10:10:39
对于这种安全性能问题,如何去解决?通过异常处理吗,
...全文
628
4
打赏
收藏
攻击者可以借助JAVA程序中e.printStackTrace()来揭示系统数据或调试信息,揭示的信息有助于攻击者制定攻击计划
对于这种安全性能问题,如何去解决?通过异常处理吗,
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
4 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
Defonds
2018-03-29
打赏
举报
回复
你捕捉以后不仅要给客户端上边提到的那种显示,还要打 log 的。只不过客户端看不到你的 log
Romantic_LI
2018-03-29
打赏
举报
回复
但是这样对于程序错误的堆栈信息提示就看不到了,也不方便开发过程中发现问题
Defonds
2018-03-29
打赏
举报
回复
对。一个很模糊的异常处理后的提示,比如:
用户名不存在或密码错误
我纯洁全身都纯洁
2018-03-29
打赏
举报
回复
即使打印了e.printStackTrace()也说明不了什么问题 如果你的系统需要登录,那么攻击者不登陆的情况下没法攻击你 如果攻击者注册个账号登陆了,理论上它可以任意使用有权限的接口,这就不算攻击了。 如果你的系统不需要登录就可以方法任意接口,说明你的接口是公共的,任何人都能用,那也不算是攻击。 我觉得攻击是找到你的系统漏洞,绕过你的所有校验去修改数据
e.
pr
int
Stack
Trace
()介绍
public void
pr
int
Stack
Trace
()将此 throwable 及其追踪输出至标准错误流。此方法将此 Throwable 对象的堆栈跟踪输出至错误输出流,作为字段 System.err 的值。输出的第一行包含此对象的 toString() 方法的结果。剩余行表示以前由方法 fillIn
Stack
Trace
() 记录的
数据
。此
信息
的格式取决于实现,但以下示例是最常见的:
java
....
解决风险代码:System Information Leak
程序
有关的
信息
(如其名称、 MIME 类型或设备软件版本),则此
信息
可能会泄露给窃听者。NFC 的通信范围仅局限于几厘米,也可能发生窃听、修改
数据
以及各种其他类型的
攻击
情况,因为 NFC 本。在某些情况下,该错误消息会告诉
攻击
者
该
系统
易遭受的确切
攻击
类型。依据这一
系统
配置,该
信息
可转储到控制台,写入日志文件,或者显示给远程用户。编写错误消息时,始终要牢记安全性。在编码的过程
中
,尽量避免使用繁复的消息,提倡使用简短的错误消。包括在发送到范围内其他设备的消息
中
,或加密消息负载,或在更高层
中
建立安全通信通道。
Fortify分析翻译4
10.System Information Leak(Data Flow): 10.1.BizApplicationAp
pr
ovalBackingBean.
java
. logger.error("BizApplicationAp
pr
ovaBB 出错:" + e.getMessage()); 10.2.Revealing system data or debugging informati
绝对干货: 在
Java
项目
中
打印错误日志的正确姿势,排查问题更方便,非常实用!...
点击上方“
java
大
数据
修炼之道”,选择“设为星标”优质文章, 第一时间送达在
程序
中
打错误日志的主要目标是为更好地排查问题和解决问题提供重要线索和指导。但是在实际
中
打的错误日志内容和格式...
JAVA
编程常见缺陷总汇
Java
缺陷的描述及修复建议参考
Web 开发
81,091
社区成员
341,719
社区内容
发帖
与我相关
我的任务
Web 开发
Java Web 开发
复制链接
扫一扫
分享
社区描述
Java Web 开发
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章