我在美国运输部网站上寻找一个表格,我来到一个给我错误的页面,其中包含完整的调试报告和堆栈跟踪。
希望您也可以通过访问该页面获得相同的结果:http: //www.dot.gov/airconsumer/air-travel-complaint-comment-form
如果没有,我已经包含了页面的两个屏幕截图(它不适合 1)
这会导致违反安全性还是不是问题(只是一个不便和不专业的页面)?
页面上有哪些敏感信息以及如何利用这些信息?
我是从纯粹的学术角度提问,无意试图非法进入 DOT 的网站。
DOT 网站上的此详细错误消息是否是安全问题?
信息安全
网络服务器
数据库
调试
错误处理
2021-09-03 17:40:37
4个回答
由于 ORA-27101,DOT 的后端 Oracle 数据库已关闭。
ORA-27101 在这里有一个很好的解释,有一个有用的读者评论指出它发生在他们身上是因为 Windows 事件日志已满。
从输出中,您可以了解到它们有 Oracle、Java JDBC、Drupal、ColdFusion。您还会看到一些 SQL 代码。有了这些知识,您就可以开始挖掘这些产品/技术中的漏洞。
输出主要意味着 DOT 数据库管理员将有一个炎热的一天,该页面应该很快就会回来。请按照页面上的说明随时通知管理员。
此消息本身不是安全问题。这只是一条消息。但它为您提供了很多您通常不应该获得的信息。有了这些信息,如果您不熟悉自己编写漏洞利用程序,您可以开始搜索exploit-db 和攻击安全性。
我认为这实际上是一个安全问题,因为它们并没有阻止详细的错误消息被暴露。这可能表明,只要付出足够的努力,您就可以在其他地方复制此类行为(通过引发错误),从而收集有关其技术和配置的大量信息。
它可能代表尝试通过 SQL 注入来破解它们的工作更少,但这里没有任何东西可以简化对其数据库的访问,这就是我的想法。
其它你可能感兴趣的问题