客户安全检测要求，严禁将后台错误信息传递到，如何处...

王胜利 · 发表于 2020-11-27 10:14:34

最近我们连续3个国有企业客户对bex53.8系统进行了渗透测试，其中提出了严禁将后台错误详细信息传递到前台。我们修改了model\UI2\system\lib\base\error.js文件，并执行了BeX5_V3.8\tools\dist目录下的dist.bat文件，这个方法仅是解决了出错不进行弹窗显示，但是通过浏览器开发工具抓包还是有详细后台错误信息。客户安全检测厂家再次提出要求改造，如何设置不让后台错误详细信息传递。非常感谢！！！

王胜利 · 发表于 2020-11-27 10:17:19

安全检测意见

错误信息

jishuang · 发表于 2020-11-27 14:19:09

可以Businesserver中加一个filter，filter中获取返回错误的标识
如果是json的获取flag为false，如下

然后设置message、messages和stack中的值

如果是xml返回格式的在root下有一个flag如下这样的？
<root>
<flag>false</flag>
</root>

ecoolper · 发表于 2020-11-27 21:09:42

关注

王胜利 · 发表于 2020-11-28 14:21:33

@jishuang 非常感谢您针对问题的及时反馈，但是您的提的解决方案，在具体操作上，我还是不怎么会修改。是否方便把针对哪个文件，做哪些配置详细写一下。非常感谢！！！我的QQ:395370392

jishuang · 发表于 2020-11-30 09:59:02

BusinessServer就是一个web应用，web应用上自己添加一个filter，获取取response内容

ecoolper · 发表于 2020-11-30 10:02:10

本帖最后由 ecoolper 于 2020-11-30 10:04 编辑

参考这个帖子：https://www.cnblogs.com/yucongblog/p/9122409.html

https://www.cnblogs.com/maohuidong/p/10702085.html

ecoolper · 发表于 2020-12-29 13:55:34

本帖最后由 ecoolper 于 2020-12-29 14:03 编辑

1、编写ResponseWrapper类

package com.muyu.servlet;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.io.PrintWriter;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpServletResponseWrapper;
import org.apache.catalina.ssi.ByteArrayServletOutputStream;
public class ResponseWrapper extends HttpServletResponseWrapper {
private ByteArrayServletOutputStream byteArrayServletOutputStream;
private PrintWriter printWriter;
public ResponseWrapper(HttpServletResponse response) {
super(response);
byteArrayServletOutputStream =new ByteArrayServletOutputStream();
}
@Override
public ServletOutputStream getOutputStream() {
return byteArrayServletOutputStream;
}
@Override
public PrintWriter getWriter() throws IOException {
if(printWriter == null){
printWriter =new PrintWriter(new OutputStreamWriter(byteArrayServletOutputStream, this.getCharacterEncoding()));
}
return printWriter;
}
/**
* 获取response内容
* @return
*/
public byte[] getContent() {
return byteArrayServletOutputStream.toByteArray();
}
}

复制代码

2、编写filter类（标准web代码），添加到UIServer中，在filter中处理错误信息

package com.muyu.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
import com.muyu.servlet.ResponseWrapper;
public class BizErrorFilter implements Filter {
private static final Logger logger = Logger.getLogger(BizErrorFilter.class);
@Override
public void destroy() {
logger.info("destroy-->");
}
@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {
logger.info("doFilter-->执行前--" + request.toString());
ResponseWrapper responseWrapper = new ResponseWrapper((HttpServletResponse) response);
filterChain.doFilter(request, responseWrapper);
String content = new String(responseWrapper.getContent(), responseWrapper.getCharacterEncoding());
logger.info("content内容-->" + content);
//处理content内容，然后再给response
response.getOutputStream().write(responseWrapper.getContent());
logger.info("doFilter-->执行后--" + response.toString());
}
@Override
public void init(FilterConfig filterConfig) throws ServletException {
logger.info("init-->");
}
}

复制代码

lyc_0809 · 发表于 2021-3-10 15:26:28

学习

		自动登录	找回密码
密码			注册

[处理中3] 客户安全检测要求，严禁将后台错误信息传递到，如何处...