Cybersec Wednesday|甚么是「伺服器错误讯息泄露」?
大家是否曾经访问过网站并看到萤幕上弹出令人困惑的错误讯息? 500 Internal Server Error(内部伺服器错误)或404 File Not Found(找不到档案)等讯息是来自网站的典型错误回应。虽然这些讯息可以帮助网站管理员识别问题,但如果处理不当,它们也可能无意中泄露敏感资讯。
「伺服器错误讯息外泄」,是指当网站上的技术错误显示超出必要的详细资讯时,可能会泄露伺服器配置、资料夹结构或资料库详细资讯等私人资料。而不法分子就可以利用这种额外的可见性来发动骇客攻击。
随著互联网的发展,不同企业越来越依赖网站和 Web 应用程序发展业务,了解这种风险并采取一些基本的预防措施非常重要。以下是一些锦囊可以帮助大家:
- 网站披露了甚么?错误讯息中绝不能泄漏档案路径、资料库表、伺服器软体版本或其他技术配置。太多的细节让骇客更容易得逞。
- 应用自订的回复页面。最好是像「500 内部伺服器错误」这样的通用错误讯息,无需透露关键的后端详细资讯。
- 限制存取,确保管理员之外无法存取错误页面,可以透过使用 HTTP 验证或防火墙规则来阻止未经授权的存取。
- 保持软体更新。过时的伺服器软体通常具有可从错误讯息中利用的已知漏洞,定期套用安全更新。
- 使用 Web 应用程式防火墙。这些过滤请求并隐藏最终用户的错误回应,仅公开一般异常,防火墙能提供额外的隐私层。
基本的配置调整可以保护企业的数位资产免受因粗心错误讯息而导致的资料外泄或攻击,有助于企业保护网站安全及完整性,避免不必要的风险。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的CybersecInfohub计划,让行业里的网络安全专家为你解决,如果你怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
关于 Cybersec Wednesday
每逢星期三,HKIRC网络安全团队都会挑选一个网络安全主题,以文章、贴士或最佳实践的形式与大家分享。 请留意每周三的更新,定时掌握最新鲜的网络安全资讯。
