我想发现什么可能的标准.net异常会导致堆栈跟踪包含敏感信息。
我的理解(如果我错了,请纠正我)如果SQL连接失败,则创建的异常消息将包含连接字符串,而该连接字符串又可能包括用户名和passowrd(如果不使用集成安全性)。 / p>
我们将异常消息记录到可能由不应该看到该信息的人阅读的日志文件中。
还有哪些其他例外可以包含您知道的信息?
有问题的应用程序使用Web,WCF和DB(SQL Server)。
由于
答案 0 :(得分:3)
就我个人而言,我认为你并没有以正确的方式解决这个问题。试图识别可能包含信息的异常数量会让您面临更大的风险,因为一件物品会被遗漏,只会发生。
我会稍微切换一下焦点并尝试确定将它们记录在哪里作为安全位置。
另一个未知的问题是,您可以使用包含敏感信息的开发人员创建的消息,并确定这些信息非常难。