Mamy duży system informatyczny dostępny z poziomu przeglądarki. Następuje w nim awaria, jest naprawiana, ale obsługa techniczna nie wyświetla "ludzkiego" komunikatu o błędzie, ale pozwala na zwrócenie interpreterowi pierwotnego komunikatu, pełnego danych technicznych. Jak to oceniacie w kategorii "profesjonalizm"?
0
0
Nisko, bo możliwe, że komunikatów technicznych da się coś wywnioskować, albo uzyskać dostęp do "wrażliwych" danych (typu login i hasło do bazy).
0
Moglibyście coś o tym powiedzieć (załącznik)?
1
Świetny Orzeł napisał(a):
Moglibyście coś o tym powiedzieć (załącznik)?
Nie działa ci coś, Uważaj!
*Wystarczy? *
0
Nie chodzi mi o to, żebyście odwalili robotę szukania błędu (to nie mój system). Proszę o "rzucenie okiem" i określenie, na ile wyświetlanie takiego komunikatu może stanowić zagrożenie ;). Z góry dziękuję.
2
Używasz Oracle, konto powoduje błąd, bo jest zablokowane, kod ORA-28000. Kod ORA-28000 pojawia się (na domyślnych ustawieniach) dopiero od Oracle 10.2, bo poprzednia wersja miała możliwość nielimitowanych prób logowania jako domyślne, a wiele osób używa przecież domyślnych konfigów. Więc można strzelać, że znam wersję i szukać w niej błędów. Błąd Oracle jest w wersji polskiej.
Nie widzę żadnych klas odpowiedzialnych za jakieś ORM - czyżbyś pisał po JDBC bezpośrednio do bazy? To może można będzie próbować SQL Injection.
Używasz Spring Web Flow, Inspektr, CAS - trzeba przejrzeć błędy w tych bibliotekach.
Nie znam się na Javie, więc wiele nie wywnioskuję, ale trochę się da zobaczyć.
I najważniejsze - użytkownik jak zobaczy coś takiego, to ucieknie ;-)