情報漏洩の最も一般的な原因の1つは、詳細なエラーメッセージです。一般的なルールとして、監査中に遭遇するすべてのエラーメッセージに細心の注意を払う必要があります。
パラメータの型を変える
下記エンドポイントではproductIdを指定すると対象のプロダクト情報を取得できます。
/product?productId=1通常の動作
文字列(型違い)を入力した場合
パラメーター「productId」は数値を期待している可能性が高いですが、ここに文字列を指定してみます。
/product?productId=test
エラーメッセージ(開発者向け)が表示され、一番下に利用しているソフトのバージョンも表示されました。
こちらのバージョンに既知の脆弱性がないかという観点で調査ができます。
