민감한 정보를 포함한 오류 메시지 생성
설명
응용 프로그램은 스택 추적과 같은 오류 데이터를 반환하는 것으로 확인되었습니다. 오류 메시지에 포함된 데이터에 따라, 공격자가 추가 공격을 수행하는 데 사용할 수 있습니다. 스택 추적은 개발 및 디버깅 중에 유용하지만, 오류가 발생할 때 사용자에게 제공해서는 안됩니다.
교정
응용 프로그램은 예외 상황을 내부적으로 처리하고 알려진 실패 유형을 오류 코드로 매핑하여 사용자에게 표시할 수 있어야 합니다. 이러한 오류 코드는 응용 프로그램에 맞게 사용자 정의되어야 하며 관련 HTTP 오류 코드와 함께 반환되어야 합니다.
오류가 발생할 때, 응용 프로그램은 오류 유형 또는 클래스를 식별하고 사용자에게 숫자 값을 표시해야 합니다. 또한 요청은 추적되어야 하므로 사용자가 오류 코드를 확인하면 해당 요청 ID가 있어야 합니다. 지원 팀은 로그 파일에서 HTTP 오류, 사용자 정의 오류 코드 및 요청 ID를 상호 연관시켜 오류의 원인을 노출시키지 않고 결정할 수 있어야 합니다.
사용자 정의 오류를 반환하는 예시:
HTTP/1.1 500 Internal Server Error
...
오류 [0004] 발생, 지원팀에 문의하시거나 잠시 후에 요청을 다시 시도하세요.
요청 ID [a4bc91def12]
...
Details
| ID | Aggregated | CWE | Type | Risk |
|---|---|---|---|---|
| 209.1 | false | 209 | Passive | Low |
도움말