DOT Webサイトのこの詳細なエラーメッセージはセキュリティの問題ですか?
米国運輸省のWebサイトでフォームを探していたところ、完全なデバッグレポートとスタックトレースを含むエラーが発生するページが表示されました。
うまくいけば、ページにも移動して同じ結果を得ることができます: http://www.dot.gov/airconsumer/air-travel-complaint-comment-form
そうでない場合は、ページのスクリーンショットを2つ含めました(1には収まりません)。
これによりセキュリティ違反が発生する可能性がありますか、それとも問題ではありませんか(単に不便で専門外のページです)。
ページにはどの機密情報があり、どのようにしてそれを悪用することができますか?
私は純粋に学問的な観点から質問しており、DOTのサイトに違法に侵入しようとする意図はありません。
DOTのバックエンドOracleデータベースは、ORA-27101が原因でダウンしています。
ORA-27101には良い説明があります ここ Windowsのイベントログがいっぱいだったために発生したという読者のコメントが含まれています。
出力から、それらがOracle、Java JDBC、Drupal、ColdFusionであることがわかります。SQLコードもいくつか表示されます。その知識があれば、それらの製品/テクノロジーの脆弱性を掘り始めることができます。
出力は主に、DOTデータベース管理者が暑い日を迎え、ページがすぐに戻ることを意味します。ページに表示されているように、管理者に自由に通知してください。
このメッセージはnot自体のセキュリティ問題です。それは単なるメッセージです。しかし、それはあなたが通常得るべきではない多くの情報を提供します。この情報があれば、自分でエクスプロイトを作成することに慣れていない場合は、エクスプロイト-dbと攻撃的セキュリティの検索を開始できます。
これは実際にはセキュリティの問題であると私は主張します。詳細なエラーメッセージが表示されるのを防いでいないからです。これは、十分な努力を払えば、そのような動作を別の場所に(エラーを引き起こすことによって)複製でき、そのため、それらのテクノロジと構成に関する多くの情報を収集できることを示している可能性があります。