システムデータ情報の漏えい

概要

システムデータの漏えいは、内部設定、ディレクトリパス、アカウント情報、環境情報を外部へ出す問題です。

これらの情報は、攻撃者がシステムを理解し、より有効な攻撃を選ぶ助けになります。

診断情報の露出を最小化し、レスポンスを無害化し、管理エンドポイントを制限し、デプロイ時のエラー処理を確認します。

...
public void foo() {
    try {
        go();
    } catch(IOException e) {
        out.println(e.getMessage());
    }
}
...

...
public void foo() {
    try {
        go();
    } catch(IOException e) {
        System.err.println("IOException Occurred");
    }
}
...