¿Es una vulnerabilidad mostrar los mensajes de excepción en una página de error?

Navega tus respuestas
18

Nuestra aplicación web tiene una página de error que muestra la ruta URL absoluta y la consulta de la página en la que se produjo el error, la fecha / hora del error y el mensaje de excepción. (No mostramos el seguimiento de la pila. Esa es una vulnerabilidad obvia).

¿Es una vulnerabilidad mostrar los mensajes de excepción en una página de error?

Para obtener la máxima seguridad, ¿qué debemos mostrar en una página de error? ¿Qué no debemos mostrar?

EDITAR: Mi corazonada es que es una vulnerabilidad, pero quiero escuchar la opinión de un experto.

    
pregunta Matthew Rodatus 09.06.2011 - 16:12
fuente

3 respuestas

18

En algunos casos, los mensajes de error inducen vulnerabilidades. En el área de la criptografía, el ataque de oráculo de relleno puede recuperar una clave secreta enviando mensajes cifrados alterados y usando un "oráculo" "lo que distingue dos tipos de fallas (" el relleno fue incorrecto "vs" hubo un relleno válido, pero los datos resultantes fueron incoherentes "). Los mensajes de error detallados tienen un gran potencial para ser un tal oráculo. En una visión más general y conceptual, los atacantes intentarán descubrir las debilidades al incidir en el sistema y observar lo que sucede, y más datos solo pueden ayudarlos. El mensaje de excepción no es cualitativamente distinto del seguimiento de pila, en ese sentido; por lo tanto, si el seguimiento de la pila es una vulnerabilidad "obvia", también debe ser el mensaje de excepción.

    
respondido por el Thomas Pornin 09.06.2011 - 16:27
fuente
9

La divulgación de la ruta / la fuga de la ruta también se puede utilizar para detectar huellas dactilares y sus servidores subyacentes, además de proporcionar una enumeración de la superficie de ataque. Casi todas las aplicaciones web que utilizan páginas dinámicas perderán las rutas de los servidores web locales, que a veces contienen nombres de usuarios y directorios obviamente vulnerables.

También se pueden aprovechar durante la inclusión de archivos o ataques de inclusión de secuencias de comandos. Se debe tener especial cuidado con los archivos PHP / CTP, ASP / ASPX y JSP / JSPX para evitar que los mensajes de divulgación de la ruta se conviertan fácilmente en un ataque de inclusión de archivos, que puede (por ejemplo) leer archivos locales.

    
respondido por el atdre 09.06.2011 - 19:11
fuente
2

No necesariamente lo llamaría una vulnerabilidad en sí misma. Es probable que la única excepción no sea suficiente para violar la seguridad de su servidor.

Pero es una debilidad que puede revelar información que ayuda a los atacantes o les da un pie en la puerta. Por ejemplo, podría revelar información sobre el código o la versión del software. Podría hacer que sea más fácil para los atacantes intentar ataques y aprender cómo modificarlos para que funcionen.

También, a veces los atacantes pueden juntar varias debilidades y combinarlas para construir un exploit completo. Ninguna debilidad en sí misma es una vulnerabilidad, es decir, ninguna debilidad en sí misma permitiría a los atacantes violar la seguridad de su sistema. Pero cuando los atacantes los combinan de una manera inteligente, a veces proporcionan suficientes escalones para permitir una violación de seguridad en toda regla.

Por estas razones, me inclino a ser cauteloso con este tipo de "debilidades". Parece más seguro tratar de evitarlos, si puedes.

    
respondido por el D.W. 10.06.2011 - 06:18
fuente

Lea otras preguntas en las etiquetas

Técnicas para escribir algoritmos de cifrado (exclusivamente para uso personal) Saber cuándo ha habido una violación de datos de su base de datos