请选择 进入手机版 | 继续访问电脑版

专注代码检测 - 阅镜

 找回密码
 立即注册
热搜: 安装 代码
查看: 103|回复: 0

不应当在Debug或错误信息中提供过多内容

[复制链接]

70

主题

70

帖子

232

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
232
发表于 2021-9-10 19:40:07 | 显示全部楼层 |阅读模式

包含过多信息的Debug消息不应当被用户获取到。Debug信息可能会泄露一些值,例如内存数据、内存地址等内容,这些内容可以帮助攻击者在初步控制程序后,更容易地攻击程序。

而应该:

  1. // Good
  2. int foo(int* bar) {

  3. #ifdef DEBUG
  4.   if (bar && *bar == 5) {
  5.     OutputDebugInfo("Wrong value for bar.\n", bar, *bar);
  6.   }
  7. #endif

  8. }
复制代码


关联漏洞:

  1.   中风险-信息泄漏
复制代码
回复

使用道具 举报

高级模式
B Color Image Link Quote Code Smilies |上传

本版积分规则

QQ|Archiver|手机版|小黑屋| 阅镜 ( 京ICP备2020034574号 )|网站地图|网站地图点击这里给我发消息

GMT+8, 2022-1-17 09:30 , Processed in 0.117946 second(s), 29 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表