禁止在互联网环境下进行攻防试验.ppt

5.不恰当的错误处理-示例错误的用户名错误的用户口令北京邮电大学信息安全中心黄玮5.不恰当的错误处理-描述程序的错误消息会暴露程序的一些实现细节示例堆栈调试信息，数据库错误消息，错误代码JSP编译错误信息包含物理路径信息不一致的错误消息（例如拒绝访问或没有找到）错误导致的服务器宕机（DoS）用户错误输入回显到页面时没有进行过滤或转义导致的XSS攻击北京邮电大学信息安全中心黄玮5.不恰当的错误处理-解决方案定义一套清晰和一致的错误处理机制简明扼要的易于用户理解的错误消息（例如，不同的错误消息对应一个错误代码id）为系统管理员记录重要信息（关联错误代码id）