민감한 정보를 포함한 오류 메시지 생성
설명
애플리케이션이 스택 추적과 같은 오류 데이터를 반환하는 것으로 확인되었습니다. 오류 메시지에 포함된 데이터에 따라, 이 정보는 공격자가 추가 공격을 수행하는 데 사용될 수 있습니다. 스택 추적은 개발 및 디버깅 시 유용하지만, 오류가 발생할 때 사용자에게 표시되어서는 안 됩니다.
수정 방법
애플리케이션은 내부적으로 예외 조건을 처리하고, 알려진 실패 유형을 사용자에게 표시할 수 있는 오류 코드로 매핑해야 합니다. 이러한 오류 코드는 애플리케이션에 맞게 사용자화되어야 하며, 관련 HTTP 오류 코드와 함께 반환되어야 합니다.
오류가 발생할 때, 애플리케이션은 오류 유형 또는 클래스를 식별하고 사용자에게 숫자 값을 표시합니다. 요청도 추적되어야 하며, 사용자가 오류 코드를 표시받을 때에는 해당 요청 ID가 있어야 합니다. 지원 팀은 로그 파일에서 HTTP 오류, 사용자화된 오류 코드 및 요청 ID를 상관시켜 오류의 근본 원인을 판단할 수 있으며, 최종 사용자에게 세부 사항을 유출하지 않아야 합니다.
사용자화된 오류 반환 예시:
HTTP/1.1 500 Internal Server Error
...
오류 [0004] 발생, 지원에 문의하시거나 잠시 후 다시 요청해 주십시오.
요청 ID [a4bc91def12]
...
세부정보
ID | 집계됨 | CWE | 유형 | 위험 |
---|---|---|---|---|
209.1 | false | 209 | Passive | Low |