Web安全防护技术之不恰当的异常处理

11.不恰当的异常处理

不恰当的异常处理，是指Web应用在处理内部异常、错误时处理不当，导致会给攻击者透露出过多的Web应用架构信息和安全配置信息。

在Web正常运行，或当攻击者控制Web的输入时，经常能导致Web应用产生错误情况，如内存不够、空指针、系统调用失败、数据库不存在、网络不通等。正确的处理这些错误异常，给用户提供详细有意义的错误信息、给网站维护者提供诊断信息但不能给攻击者提供任何信息。不恰当的异常处理会将详细的内部错误信息比如堆栈追溯、数据库清空及错误的代码等提供给攻击者，从而给网站带来很多安全问题。