| 检查应用程序处理错误的方法。应前后一致地使用结构化的异常处理。同样,确保应用程序不在发生异常时公开太多信息。下表显示了两大异常管理漏洞。
|
|
|
|
|
|
|
| 测试时应考虑下列问题,以确保设计不易受到异常管理安全漏洞的影响。
|
|
|
|
|
| 检查应用程序如何使用结构化的异常处理。设计应强制在整个应用程序中使用一致的结构化异常处理。这将创建更强大的应用程序,使应用程序不易处在暴露安全漏洞的不一致状态下。
|
|
|
|
|
| 确保恶意用户无法利用错误信息中的细节信息,考虑下列问题。
|
|
|
|
|
| 确保应用程序不会将内部异常情况传播到应用程序边界以外。异常应在服务器中捕获并记录日志。如果必要,应向客户端返回常规错误信息。
|
|
|
|
|
| 在应用程序中一致处理并日志记录异常的最佳方法是,使用正式的异常处理系统。还可将该系统与操作组监视系统性能的监控系统相结合。
|
|
|
|
|
| 设计必须明确,应用程序在发生严重错误时使用自定义的错误信息。确保这些消息中不包含任何可能被恶意用户利用的敏感数据。
|
|
|
