开发安全之:System Information Leak: External

这篇具有很好参考价值的文章主要介绍了开发安全之:System Information Leak: External。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Overview

 在调用 error_reporting() 过程中,程序可能会显示系统数据或调试信息。由 error_reporting() 揭示的信息有助于攻击者制定攻击计划。

Details

当系统数据或调试信息通过套接字或网络连接使程序流向远程机器时,就会发生外部信息泄露。

示例 1:以下代码会将一个异常写入 HTTP 响应:

<?php 
 echo "Server error! Printing the backtrace"; 
debug_print_backtrace(); 
 ?>

依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。例如,凭借脚本机制,可以轻松将输出信息从“标准错误”或“标准输出”重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如“syslog”服务器。在开发过程中,您无法知道此信息最终可能显示的位置。

在某些情况下,该错误消息会告诉攻击者该系统易遭受的确切攻击类型。例如,数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。

Recommendations

编写错误消息时,始终要牢记安全性。在编码的过程中,尽量避免使用繁复的消息,提倡使用简短的错误消息。限制生成与存储繁复的输出数据可帮助管理员和程序员诊断问题。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。 即便是并未揭示栈踪迹或数据库转储的简短错误消息,也有可能帮助攻击者发起攻击。例如,"Access Denied"(拒绝访问)消息可以揭示系统中存在一个文件或用户。文章来源地址https://www.toymoban.com/news/detail-813069.html

到了这里,关于开发安全之:System Information Leak: External的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 26岁转行网络安全,成功上岸安全开发!

    前言 我是去年 9 月 22 日才正式学习网络安全的,之前在国营单位工作了 4 年,在长沙一个月工资只有 5000 块,而且看不到任何晋升的希望,如果想要往上走,那背后就一定要有关系才行。 而且国营单位的气氛是你干的多了,领导觉得你有野心,你干的不多,领导却觉得你这

    2024年02月11日
    浏览(97)
  • 发现网络安全的基本实践:安全代码开发

    本文的目标是对安全代码开发在网络安全中的重要性提供清晰、全面的看法。然后,我们将探讨数字世界中迫在眉睫的威胁、安全开发的指导原则以及可用的工具和技术。 我们还将分析如何将安全性整合到开发周期和培训中,作为确保这一基本实践成功的关键要素。通过对安

    2024年02月04日
    浏览(40)
  • 网络安全开发架构之基于规则引擎的开发架构

    原文合集地址如下,有需要的朋友可以关注 本文地址 合集地址 规则引擎架构可以有多种不同的表现形式,以下是一些常见的表现形式: 中心化规则引擎 中心化规则引擎是指规则引擎的核心逻辑集中在一个中心服务器或平台上。该服务器负责规则的管理、执行和决策的推理

    2024年02月13日
    浏览(49)
  • 国营单位工作 4 年转行网络安全,成功上岸安全开发!

    我是去年 9 月 22 日才正式学习网络安全的,因为在国营单位工作了 4 年,在天津一个月工资只有 5000 块,而且看不到任何晋升的希望,如果想要往上走,那背后就一定要有关系才行。 而且国营单位的气氛是你干的多了,领导觉得你有野心,你干的不多,领导却觉得你这个人

    2024年01月17日
    浏览(42)
  • Java安全 URLDNS链分析,网络安全开发面试基础

    this代表的是当前对象的指针,也可以用 this.name 的方式调用当前对象中的成员 那我们去 URLStreamHandler类 当中,查看下 hashCode方法 的代码 protected int hashCode(URL u) { int h = 0; // Generate the protocol part. String protocol = u.getProtocol(); if (protocol != null) h += protocol.hashCode(); // Generate the host pa

    2024年04月23日
    浏览(37)
  • NFS(Network File System 网络文件服务)

    1,nfs 性质 NFS(Network File System 网络文件服务) 文件系统(软件)文件的权限 NFS 是一种基于 TCP/IP 传输的网络文件系统协议 通过使用 NFS 协议,客户机可以像访问本地目录一样访问远程服务器中的共享资源 NFS 也是 NAS 存储 设备必然支持的一种协议 NFS 它是文件系统,是操作

    2024年01月17日
    浏览(43)
  • System.Net.WebException:“请求被中止: 未能创建 SSL/TLS 安全通道。”

    一、问题描述 当使用 HttpWebRequest.GetResponse() 方法进行 HTTPS 请求时,有可能会出现 System.Net.WebException: 请求被中止: 未能创建 SSL/TLS 安全通道的异常,这通常是因为客户端和服务器之间的 TLS 版本不兼容造成的。 二、解决方案 1.指定 TLS 版本 :可以通过在代码中设置 ServicePoin

    2024年02月11日
    浏览(49)
  • System.Net.WebException: 请求被中止: 未能创建 SSL/TLS 安全通道。

    System.Net.WebException: 请求被中止: 未能创建 SSL/TLS 安全通道。 客户端执行https请求时,报出“System.Net.WebException: 请求被中止: 未能创建 SSL/TLS 安全通道。”的问题。原因是:服务端更改了安全协议,而执行的客户端并未注册该协议。 如果客户端的.net framework版本低于4.0,协议类

    2024年02月04日
    浏览(45)
  • 人工智能在信息系统安全中的运用(3),美团网络安全开发工程师岗位职能要求

    图.上下文分析 由于编纂什么行为可以是“正常”的行为是很复杂的,因此 ML (机器学习)模型通过查看历史活动和在对等组中进行比较来为每个用户构建基线。它是如何工作的?在检测到任何异常事件的情况下,评分机制聚集它们以为每个用户提供组合的风险得分。 具有较

    2024年04月14日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包