Improper Error Handling
Improper Error Handling Nedir?
Improper Error Handling, uygulamanın hataları doğru şekilde ele almadığı veya yönetmediği durumları ifade eder. Bu durum, saldırganların sistem hakkında hassas bilgileri öğrenmesine veya sistemi manipüle etmesine olanak tanır.
Etkisi
Dahili olarak kullanılan API'leri anlamalarını sağlar.
Dahili sistemler ve kullanılan çerçeveler hakkında bilgi edinerek çeşitli hizmetlerin birbirleriyle nasıl entegre olduğunu haritalandırabilirler, bu da saldırı zincirlemelerine kapı açar.
Kullanılan uygulamaların sürümlerini ve türlerini toplayabilirler.
Sistemi bir çıkmaza veya panik sinyali gönderen işlenmemiş bir hataya zorlayarak hizmeti aksatabilirler (DoS).
Belirli bir istisnanın mutlu yol etrafında belirlenen mantık tarafından kısıtlanmadığı durumlarda kontrol atlatması yapabilirler.
Nasıl Test Edilir?
Web Sunucusu Hataları
Bulunamayan rastgele dosya ve klasörleri arayın (404'ler)
Var olan klasörleri istemeyi deneyin ve sunucu davranışını görün (403s, boş sayfa veya dizin listesi)
HTTP RFC'yi bozan bir istek göndermeyi deneyin. Çok büyük bir yol göndermek, başlık formatını bozmak veya HTTP sürümünü değiştirmek buna bir örnek olabilir.
Uygulama Hataları
İstenen girdi türü yerine başka bir tür gönderin. (JSON yerine XML)
Veriyi bozan karakterleri gönderin (Mesela json kapatma parantezi)
Çok büyük veriler gönderin.
Dosya yükleme varsa dosyada geçersiz karakterker
CRLF (%0d%0a)
Kaynaklar
Last updated