11.不恰当的异常处理
不恰当的异常处理,是指Web应用在处理内部异常、错误时处理不当,导致会给攻击者透露出过多的Web应用架构信息和安全配置信息。
在Web正常运行,或当攻击者控制Web的输入时,经常能导致Web应用产生错误情况,如内存不够、空指针、系统调用失败、数据库不存在、网络不通等。正确的处理这些错误异常,给用户提供详细有意义的错误信息、给网站维护者提供诊断信息但不能给攻击者提供任何信息。不恰当的异常处理会将详细的内部错误信息比如堆栈追溯、数据库清空及错误的代码等提供给攻击者,从而给网站带来很多安全问题。