Divulgation d’informations dans les messages d’erreur

Information disclosure in error messages

Objectif du laboratoire

Ce laboratoire repose sur des messages d’erreur trop verbeux qui révèlent des informations sensibles sur l’application. L’objectif est d’identifier et de soumettre la version d’un framework tiers vulnérable utilisée par le serveur.

Observation initiale

En manipulant le paramètre productId avec une valeur inexistante, par exemple :

l’application retourne une page d’erreur détaillée au lieu d’un message générique.

Information divulguée

Le message d’erreur expose explicitement des détails internes de l’application, notamment le framework utilisé et sa version exacte.

Dans ce cas, l’erreur révèle que l’application fonctionne avec :

Mis à jour