Overflow di un cookie restituisce la pagina di errore in PHP

1

Un'applicazione PHP che sto testando al momento restituisce e una pagina di errore quando il valore del cookie di sessione è impostato come una stringa enorme. Porta anche alla divulgazione di informazioni. Che cosa posso raccomandare allo sviluppatore di impedire la generazione della pagina di errore quando il valore del cookie è sorvolato?

    
posta Anonymous Platypus 21.01.2015 - 11:47
fonte

2 risposte

2

Il problema è causato dall'app che si aspetta che il valore del cookie sia qualcosa senza prima verificare se quel valore sia effettivamente qualcosa che può uscire con garbo se non lo è, e invece finisce per lanciare un'eccezione (non gestita).

Ciò che lo sviluppatore dovrebbe fare prima è disabilitare la visualizzazione degli errori sui server di produzione e restituire invece un errore di 500 con una pagina di errore di facile utilizzo opzionale, o almeno una pagina vuota per evitare la divulgazione di informazioni.

Non penso che sia necessario convalidare esplicitamente il valore del cookie, questo non è qualcosa che un utente può inserire e fare un refuso quindi non c'è bisogno di convalida e una pagina di errore come "cookie non valido", qualcuno avrebbe bisogno di modificare intenzionalmente il valore di quel cookie, nel qual caso è normale che l'app non lo si aspetti e genera solo un errore 500, purché PHP sia configurato correttamente per non rivelare informazioni sensibili in caso di errore e invece di registrarlo.

    
risposta data 21.01.2015 - 13:04
fonte
1

L'applicazione fornisce un errore che espone informazioni riservate perché quell'errore specifico non viene gestito dallo sviluppatore. Lo sviluppatore dovrebbe disinfettare i dati o gestire l'errore con errore HTTP 500. Ulteriori informazioni

    
risposta data 22.01.2015 - 05:58
fonte

Leggi altre domande sui tag