Ataque 28 – Information Leakage, Flaw Error Handling or Information Disclousure

data-leakage-253x300Descrição:

Consiste na solução expor detalhes infraestruturais como: fornecedor e marca de S.O., servidor de aplicação, nomes de servidores, tipo/filosofia de mecanismos de persistências, comandos SQL, configurações de banco de dados, versionamento e etc na ocorrências de erros de runtime.

Riscos: 

  • A exposição destas informações pode servir como fator decisivo, habilitando um possível ataque futuro.

Solução

A aplicação deve apresentar uma mensagem de erro de serviço genérico quando qualquer exception de runtime vier acontecer, usando a abordagem de “Logger” para registrar os determinados de erros técnicos e infraestruturais.

Para todas as informações, veja o post inicial.

“Ninguém busque o proveito próprio; antes cada um o que é de outrem.” 1 Coríntios 10:24