Question

На моем сайте был проведен тест на проникновение.На сайт был отправлен следующий файл JSON:

{
    "name" : "Test',
}

Это приводит к следующей ошибке (с кодом состояния HTTP 400):

{
    "name": [
        "Unterminated string. Expected delimiter: \". Path 'name', line 3, position 1.",
        "Unexpected end when deserializing object. Path 'name', line 3, position 1."
    ]
}

Тестер проникновения говорит, что я должен скрыть эту ошибку,потому что это может дать подсказку об уязвимостях моей системы.

Это правильно?

Ameen Ali Shaikh · Answer 1 · 07 марта 2019

Ответ на этот вопрос не может быть очень простым, пока мы не изучим ваш код и не позаботились ли вы о всех соображениях безопасности.Но, в общем, неправильная обработка ошибок может раскрыть детали реализации, которые никогда не следует раскрывать.Такие подробности могут предоставить хакерам важные подсказки о потенциальных недостатках сайта.

Для получения более подробной информации см. Этот URL-адрес https://www.owasp.org/index.php/Improper_Error_Handling

Например, если я хакер, я постараюсь собрать большеинформацию о вашей логике десериализации и попытаться сломать ее, как вы мне ясно показали.Десериализация - одна из новых 10 проблем безопасности OWASP, добавленных в 2017 году. Для получения более подробной информации см. Ссылку ниже

https://www.owasp.org/images/d/d7/Marshaller_Deserialization_Attacks.pdf.pdf

Тест на проникновение в JSON Api

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Тест на проникновение в JSON Api

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы