11.不恰當的異常處理

不恰當的異常處理，是指Web應用在處理內部異常、錯誤時處理不當，導致會給攻擊者透露出過多的Web應用架構信息和安全配置信息。

在Web正常運行，或當攻擊者控制Web的輸入時，經常能導致Web應用產生錯誤情況，如內存不夠、空指針、系統調用失敗、數據庫不存在、網絡不通等。正確的處理這些錯誤異常，給用戶提供詳細有意義的錯誤信息、給網站維護者提供診斷信息但不能給攻擊者提供任何信息。不恰當的異常處理會將詳細的內部錯誤信息比如堆棧追溯、數據庫清空及錯誤的代碼等提供給攻擊者，從而給網站帶來很多安全問題。