academy 情報公開 1問目 エラーメッセージでの情報漏えい

WEBセキュリティー

Lab: Information disclosure in error messages

製品詳細ページに飛ぶ


ヒストリーで、
GET /product?productId=1 を確認

productIdに製品番号を渡せば、詳細ページが表示される仕組みのようです。
エラーを誘発させてみます。

このリクエストを、リピータに渡し、
productId=aaa など適当な文字列に変えて、send

レスポンスに、javaのエラーが表示されました。

Apache Struts 2 2.3.31
とバージョン番号まで表示されてます

submit solutionにバージョン番号を入れて、クリアです!

–)v

コメント

タイトルとURLをコピーしました