有一個Web應用程序捕獲服務器錯誤並將其報告給管理員,以便可以解決錯誤。這些錯誤是發生在較低級別,守護進程等等的結果。遠不及網頁層。偶爾,失敗的SQL語句會冒泡到錯誤頁面,從而暴露一些數據庫模式。在錯誤消息中暴露SQL架構會帶來哪些安全風險?
有報告頁面的URI和暴露出的錯誤之間沒有相關性。如果我理解正確,我認爲這意味着避免SQL注入的問題,因爲沒有用於注入的Web路徑,但想要確認。
誰可以訪問這些報告,也可以登錄到服務器本身和訪問相關數據庫中的用戶,所以如果我們真正想知道的模式是什麼,我們有辦法進行查看。
這種情況下是否存在安全風險?
SQL注入漏洞可以利用一次性攻擊而無任何錯誤。 – Gumbo