目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-756 定制错误页面缺失 类漏洞列表 3

CWE-756 定制错误页面缺失 类弱点 3 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-756 指应用程序未返回自定义错误页面,导致默认错误信息暴露。攻击者常利用此漏洞获取服务器版本、路径或内部架构等敏感信息,为后续攻击提供线索。开发者应配置统一的错误处理机制,返回通用且不含敏感细节的提示页面,并记录详细日志供内部排查,从而有效防止信息泄露。

MITRE CWE 官方描述
CWE:CWE-756 Missing Custom Error Page(缺少自定义错误页面) 英文:The product does not return custom error pages to the user, possibly exposing sensitive information. 中文:产品未向用户返回自定义错误页面,可能导致敏感信息泄露。
常见影响 (1)
ConfidentialityRead Application Data
Attackers can leverage the additional information provided by a default error page to mount attacks targeted on the framework, database, or other resources used by the application.
代码示例 (2)
In the snippet below, an unchecked runtime exception thrown from within the try block may cause the container to display its default error page (which may contain a full stack trace, among other things).
Public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { try { ... } catch (ApplicationSpecificException ase) { logger.error("Caught: " + ase.toString()); } }
Bad · Java
The mode attribute of the <customErrors> tag in the Web.config file defines whether custom or default error pages are used.
<customErrors mode="Off" />
Bad · ASP.NET
<customErrors mode="RemoteOnly" />
Good · ASP.NET
CVE ID标题CVSS风险等级Published
CVE-2023-27998 Fortinet FortiPresence 安全漏洞 — FortiPresence 5.3 Medium2023-09-13
CVE-2022-3175 Rdiffweb 安全漏洞 — ikus060/rdiffweb 8.2 -2022-09-13
CVE-2018-8913 Synology Web Station 输入验证错误漏洞 — Web Station 6.1 -2019-04-01

CWE-756(定制错误页面缺失) 是常见的弱点类别,本平台收录该类弱点关联的 3 条 CVE 漏洞。