在我的网站上进行了渗透测试。以下JSON已发送到该站点:
{
"name" : "Test',
}
这会产生以下错误(HTTP状态码为400):
{
"name": [
"Unterminated string. Expected delimiter: \". Path 'name', line 3, position 1.",
"Unexpected end when deserializing object. Path 'name', line 3, position 1."
]
}
渗透测试人员说我应该隐藏此错误,因为它可能会提示我系统的漏洞。
这正确吗?
答案 0 :(得分:0)
在我们研究您的代码以及您是否已考虑所有安全因素之前,答案不能很直接。但总的来说,不正确的错误处理可以揭示实施细节,而这些细节永远都不应透露。这样的细节可以为黑客提供有关网站潜在漏洞的重要线索。
有关更多详细信息,请参考此URL https://www.owasp.org/index.php/Improper_Error_Handling
例如,如果我是一名黑客,那么我将尝试收集有关您的反序列化逻辑的更多信息,并尝试按您明确向我透露的方法破解它。反序列化是2017年新增的OWASP十大安全问题之一。有关更多详细信息,请参考以下链接
https://www.owasp.org/images/d/d7/Marshaller_Deserialization_Attacks.pdf.pdf