try {
//code
} catch (ParseException e) {
e.printStackTrace();
} catch (MalformedURLException e) {
LOG.error("Error in finding Resource Bundle", e);
}
我是这样写的,但是当我使用 Checkmarx 代码分析工具时,我得到“通过错误消息暴露信息”。如何解决以及何时解决。
【问题讨论】:
什么是通过错误消息公开信息?
该软件会生成一条错误消息,其中包含有关其环境、用户或相关数据的敏感信息。
敏感信息本身可能是有价值的信息(例如密码),也可能有助于发起其他更致命的攻击。如果攻击失败,攻击者可能会利用服务器提供的错误信息发起另一次更有针对性的攻击。
(引用自CWE-209: Information Exposure Through an Error Message )
您没有指定,但我假设 Checkmarx 工具指向 printStackTrace() 作为流程的有问题的端点。
通过使用此方法,异常(包括其整个堆栈跟踪)将被打印到标准错误流中。这可能包括本身可能很敏感的信息(如用户名或密码)或至少披露一些环境数据。如果此数据暴露给用户,则可能会被滥用或恶意使用以进行更有效的攻击。
还有很多其他原因不以这种方式使用printStackTrace(),如下所示:Why is exception.printStackTrace() considered bad practice?
【讨论】:
Information Exposure 生成复选标记
Information Exposure Through Server Log
Information Exposure Through an Error Message 这是生成的准确复选标记。可能是不同的版本可能会生成一些特定的复选标记。
首先删除e.printStackTrace();。
现在,由于必须记录错误,因此您不能删除 LOG.error("Error in finding Resource Bundle", e);。
所以,只需为这个 .. 那个 Logs are being generated 提供闭包。因为这是LOW 关键,所以它们不是大问题。
我们的项目每次都会发生这种情况:P。
【讨论】: