公司项目被安全公司扫描出“报错页面敏感信息泄露”，问题如下？

Question

公司项目被安全公司扫描出“报错页面敏感信息泄露”，问题如下？

swnuv

3.9k819971516

问题描述
报错信息中可能会包含服务器代码信息、数据库连接信息、SQL语句或者敏感文件的路径，为攻击者收集信息提供了方便。
测试步骤
构造无效路径、无效参数尝试触发报错，发现中间件版本泄露：

测试结果
低风险
安全建议
1、编码时增加异常处理模块，对错误页面做统一的自定义返回界面，隐藏服务器版本信息；
2、不对外输出程序运行时产生的异常错误信息详情。

=================================================
我按照给出的测试步骤，无法复现呀，web.xml中已经配置了错误错误路径呀？如图所示，为什么还会被扫描出？

<error-page>
        <error-code>404</error-code>
        <location>/error.jsp</location>
    </error-page>
    <error-page>
        <error-code>500</error-code>
        <location>/error.jsp</location>
    </error-page>

    <error-page>
        <exception-type>java.lang.Exception</exception-type>
        <location>/error.jsp</location>
    </error-page>

    
    <welcome-file-list>
        <welcome-file>pc/index.html</welcome-file>
    </welcome-file-list>

java

阅读 4k

1 个回答

错误码是 405。

撰写回答

你尚未登录，登录后可以

和开发者交流问题的细节
关注并接收问题和回答的更新提醒
参与内容的编辑和改进，让解决方法与时俱进

推荐问题

相似问题

找不到问题？创建新问题

公司项目被安全公司扫描出“报错页面敏感信息泄露”，问题如下？

你尚未登录，登录后可以

Java 开发 URL 匹配问题？

诺依框架自动生成代码前端Vue3提交数据，后端Java没收到问题出在哪里？

WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ？

MyBatis Plus 如何对敏感字段加解密（使用哪种加密方式）？

spring boot 报错怎么解决：Invalid bean definition with name 'appMapper' defined in file ？

请问是否有什么方案实现不同用户之间本地数据库的同步呢？

idea 中有很多个 yml配置文件 , 如果想查找 a.b.c.d.e属性有什么好的办法吗?

公司项目被安全公司扫描出“报错页面敏感信息泄露”，问题如下？

你尚未登录，登录后可以

Java 开发 URL 匹配问题？

诺依框架自动生成代码前端Vue3提交数据，后端Java没收到问题出在哪里？

WSL里的Ubuntu系统开发Spring Boot报错Project build error: Non-readable POM ？

MyBatis Plus 如何对敏感字段加解密（使用哪种加密方式）？

spring boot 报错怎么解决：Invalid bean definition with name 'appMapper' defined in file ？

请问是否有什么方案实现不同用户之间本地数据库的同步呢？

idea 中 有很多个 yml配置文件 , 如果想查找 a.b.c.d.e属性 有什么好的办法吗?

idea 中有很多个 yml配置文件 , 如果想查找 a.b.c.d.e属性有什么好的办法吗?