JSON Api的渗透测试

时间:2019-02-05 08:29:03

标签: json penetration-testing

在我的网站上进行了渗透测试。以下JSON已发送到该站点:

{
    "name" : "Test',
}

这会产生以下错误(HTTP状态码为400):

{
    "name": [
        "Unterminated string. Expected delimiter: \". Path 'name', line 3, position 1.",
        "Unexpected end when deserializing object. Path 'name', line 3, position 1."
    ]
}

渗透测试人员说我应该隐藏此错误,因为它可能会提示我系统的漏洞。

这正确吗?

1 个答案:

答案 0 :(得分:0)

在我们研究您的代码以及您是否已考虑所有安全因素之前,答案不能很直接。但总的来说,不正确的错误处理可以揭示实施细节,而这些细节永远都不应透露。这样的细节可以为黑客提供有关网站潜在漏洞的重要线索。

有关更多详细信息,请参考此URL https://www.owasp.org/index.php/Improper_Error_Handling

例如,如果我是一名黑客,那么我将尝试收集有关您的反序列化逻辑的更多信息,并尝试按您明确向我透露的方法破解它。反序列化是2017年新增的OWASP十大安全问题之一。有关更多详细信息,请参考以下链接

https://www.owasp.org/images/d/d7/Marshaller_Deserialization_Attacks.pdf.pdf