Laboratorio: Divulgación de información en mensajes de error

PreviousInformation Disclosure Vulnerabilities NextLaboratorio: divulgación de información en la página de depuración

Last updated 7 months ago

Laboratorio: Divulgación de información en mensajes de error

¿Que es un marco de trabajo?

Puede ser que se refiere en este caso especifico al marco de desarrollo de software, que es el conjunto de componentes de software que permiten mejorar y agilizar el proceso de creación del software, además de que permite: mejorar la calidad del codigo, el tiempo estipulado para crear el software, permite una flexibilidad de desarrollo.

Sin más preambulo vamos a ver bien como vamos a ver la versión:

Importante al ingles Marco es igual a = Framework, sabemos lo que es un framework así que ahora ya sabemos a que se refiere con terceros, un framework web de terceros, como por ejm: React, Django, Angular, etc…

La respuesta parece que debe ser del tipo nameVersion:NumberVersion (Igual no es certero del todo aún).

Tal parece que el ID de productID tiene algo que ver en este laboratorio ya que no toma en cuenta la validación para el caso de que el ID fuese un caracter Non Integer y al parecer solo bastó con ingresar una sola letra (tipo String) para que automaticamente se retornará un error a nivel de backend/server en la parte visual de la pagina, que es el siguiente:

En este caso vemos como retornará el error del servidor de la aplicación mostrandonos claramente un error en el formato del tipo de dato ingresado NumberFormatException: For input string "a" porque lo que pasa es que el backend nuncá llego a verificar el caso excepcional de ¿que pasaba si el ID de un producto no fuese un entero directamente? Y por ello fue que se llegó a este error, porque nunca lo trataron como una excepción más, tuvieron solo y exclusivamente el caso de que fuese entero no tomaron en cuenta ninguna otra situación en la que fuese diferente, por eso se retornó este error.
- Si parece que a nivel de codigo si tomaron una excepción en el caso de que fuera un caracter diferente a int el problema recae en que no tratarón el como actuaría la aplicación si eso pasaba y por ello en la pagina se muestra el error con todo y versión del server.
  Apache Struts 2 2.3.31
  Ingreso en Submit Solution, la solución así: Apache Struts:2.3.31 y aparece esto:

¿Qué es apache Struts?

Finalmete si es un marco que se integra bajo el patrón que tanto he aprendido en mi carrera el cual es MVC (Modelo Vista Controlador), ahora bien la versión es la 2 y el numero de versión la de arriba, pero sabemos que este marco es para poder agilizar el proceso de desarrollo de una aplicación web.