...sur le site du Parisien ce matin.
Visiblement un problème technique est en cours puisque d'autres pages affichent des erreurs.
Ces messages explicites constituent une fuite d'information: on peut en déduire des informations sur les fonctions et les variables employées dans un script, cartographier le site voire même le filesystem du système d'exploitation hébergeur.
Le traitement des messsages d'erreur est une bonne pratique en sécurité applicative.
"Applications should always fail safe. If an application fails to an unknown state, it is likely that an attacker may be able to exploit this indeterminate state to access unauthorized functionality, or worse create, modify or destroy data."
On parle de "fail safe", traduisez par "échouer proprement". Plus de détails sur le site de l'OWASP.
Aucun commentaire:
Enregistrer un commentaire