Komunikaty błędów na stronie WWW – zagrożenia

Komunikaty błędów na stronie WWW
Komunikaty błędów na stronie WWW
Czasami możemy zobaczyć na stronach www komunikaty błędów. Niestety zwykle nie są to przyjazne zwykłemu użytkownikowi komunikaty informujące o wystąpieniu błędu, a techniczne informacje generowane bezpośrednio przez język programowania czy zastosowany framework. Wyświetlanie takich komunikatów błędów często może przyczynić się do naruszenia bezpieczeństwa webaplikacji.

Wyświetlanie informacji o wystąpieniu błędu jest bardzo przydatne w trakcie rozwoju aplikacji, pozwala łatwiej odnaleźć przyczynę problemu. Jednak na serwerze produkcyjnym należy wyłączyć wyświetlanie komunikatów błędów w treści zwracanych stron WWW.

Skutki wyświetlania komunikatów błędów na stronie WWW

Wśród wyświetlanych informacji często pojawiają się dane dotyczące architektury webaplikacji (np. struktury katalogów, nazwach plików, rodzaju użytej bazy danych) czasem możemy wykonywane zapytania SQL, loginy i hasła do różnego rodzaju usług.

Przykładowe komunikaty błędów

W ostatnim czasie sporo osób zaniedbało sprawę i miało kłopoty z biblioteką GAPI. W wyświetlanym w tym przypadku komunikacie błędu pojawia się login i hasło do konta Google. Tak więc można ponieść dotkliwą stratę.

Wystarczy proste zapytanie w wyszukiwarce:

site:pl Fatal error: Uncaught exception 'Exception’ with message 'GAPI: Failed to authenticate user. Error: https://developers.google.com/accounts/docs/AuthForInstalledApps

W ten sposób uzyskujemy dostęp do kilkuset loginów i haseł należących do polskich użytkowników:
Komunikaty błędu Fatal error GAPI

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

To prevent spam, URLs are not allowed in comments. All comments are moderated and subject to approval.
Aby zapobiec spamowi, adresy URL nie są dozwolone w komentarzach. Wszystkie komentarze są moderowane i podlegają zatwierdzeniu.