Información facilitada en la página de error

Cuando se produzca un error y éste se muestre por pantalla, se hará siempre en la misma página de error, mostrando al usuario la información del error.

Esta información se debe ofrecer mediante un mensaje que describa el error, el usuario que lo ha provocado y un código de error asociado, controlando que la salida no contenga información confidencial, como estructura de consulta SQL o información privada. Si esta salida se redirige a un usuario de la web, esto puede representar un problema de seguridad.

Nunca se le debe presentar al usuario una traza o información técnica de la excepción ocurrida. Podemos incurrir en darle excesiva información al usuario que puede utilizar para preparar ataques de código malintencionado.

Hay que evitar proporcionar diferente información en situaciones genéricas. Si el software proporciona diferentes respuestas a las solicitudes entrantes permitiría a un actor obtener mayor información sobre el estado y comportamiento del sistema.

Este problema se produce con frecuencia durante la autenticación, donde una diferencia en los mensajes de no-entrada podría permitir a un atacante determinar si el usuario es válido o no.

La página de error no debe revelar información sobre el éxito o el fracaso de una operación delicada.

Por ejemplo, la página de entrada no debe confirmar que la entrada es correcta o que la contraseña es correcta. El atacante que intente acceder con un nombre de cuenta al azar puede ser capaz de adivinar alguno de ellos, confirmando que la cuenta existe, haciendo que la página de acceso más susceptible al ataque de fuerza bruta.