Czasami możemy zobaczyć na stronach www komunikaty błędów. Niestety zwykle nie są to przyjazne zwykłemu użytkownikowi komunikaty informujące o wystąpieniu błędu, a techniczne informacje generowane bezpośrednio przez język programowania czy zastosowany framework. Wyświetlanie takich komunikatów błędów często może przyczynić się do naruszenia bezpieczeństwa webaplikacji.
Wyświetlanie informacji o wystąpieniu błędu jest bardzo przydatne w trakcie rozwoju aplikacji, pozwala łatwiej odnaleźć przyczynę problemu. Jednak na serwerze produkcyjnym należy wyłączyć wyświetlanie komunikatów błędów w treści zwracanych stron WWW.
Skutki wyświetlania komunikatów błędów na stronie WWW
Wśród wyświetlanych informacji często pojawiają się dane dotyczące architektury webaplikacji (np. struktury katalogów, nazwach plików, rodzaju użytej bazy danych) czasem możemy wykonywane zapytania SQL, loginy i hasła do różnego rodzaju usług.
Przykładowe komunikaty błędów
W ostatnim czasie sporo osób zaniedbało sprawę i miało kłopoty z biblioteką GAPI. W wyświetlanym w tym przypadku komunikacie błędu pojawia się login i hasło do konta Google. Tak więc można ponieść dotkliwą stratę.
Wystarczy proste zapytanie w wyszukiwarce:
site:pl Fatal error: Uncaught exception 'Exception’ with message 'GAPI: Failed to authenticate user. Error: https://developers.google.com/accounts/docs/AuthForInstalledApps
W ten sposób uzyskujemy dostęp do kilkuset loginów i haseł należących do polskich użytkowników: