Vyhození chyby 404 pro každý neplatný požadavek může být sporné, útočník může začít mít podezření na toto chování, zvláště pokud zná službu, na kterou cílí.
Pomáhá to chránit vaši službu? to opravdu závisí na vytrvalosti útočníka.
Upravit :
Útočník může zjistit rozdíl, pokud nevytvoříte záhlaví odpovědi 404 správně, jak by to udělal server
Zde je případ PoC pro server Java (Tomcat8):
Toto je „pravdivý“ stav 404 vrácený samotným serverem pro jakýkoli nenalezený zdroj:
Content-Language:en
Content-Length:1026
Content-Type:text/html;charset=utf-8
Date:Tue, 31 Jan 2017 09:15:54 GMT
Server:Apache-Coyote/1.1
Ten je vrácen servletem :
Content-Language:en
Content-Length:992
Content-Type:text/html;charset=utf-8
Date:Tue, 31 Jan 2017 09:18:04 GMT
Server:Apache-Coyote/1.1
Všimnete si hodnoty parametru "Content-length" v obou případech by tento mohl přitáhnout pozornost útočníka.
Pozor, skrytí skutečného chybového kódu zavání trochu zmatením. Z bezpečnostního hlediska není nic opravdu špatného, ale přidává to málo zabezpečení, pokud vůbec nějaké. Opravdu si myslíte, že útočníci slepě přijímají chybové kódy? Víte, že je lze libovolně měnit a také to dělají. Dobře, může to být užitečné proti script kiddies, ale nečelit vážnému útoku, takže byste se měli opravdu zamyslet nad tím, jaký je váš model ohrožení, než se vydáte tímto způsobem.
A tady by mohla být nevýhoda. Pokud nevybudujete speciální systém protokolů, který zaznamenává interní chybu, skončíte v protokolech obsahujících pouze 404 chyb. To znamená, že vy ztratili jakoukoli možnost analýzy protokolů, aby se pokusili odhalit útoky na váš web a možné bezpečnostní chyby. IMHO chybové kódy jsou užitečnější pro správce aplikace než pro útočníka...