■ 问题：各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的，那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。

OWASP说：“各种网络应用软件经常通过详细或者调试出错信息将内部状态信息泄露出去。通常，这些信息可能会导致用户系统受到更有力的攻击。”

■ 真实案例：信息泄露是通过错误处理不当发生的，ChoicePoint在2005年的崩溃就是这种类型的典型案例。攻击者假扮是ChoicePoint的合法用户在公司人员信息数据库中寻找某个人的资料，随后窃取了16.3万个消费者的记录资料。ChoicePoint后来对包含敏感数据的信息产品的销售进行了限制。

■ 如何保护用户：利用测试工具，比如OWASP的WebScarab Project等来查看应用软件出现的错误信息。OWASP说：“未通过这种方法进行测试的应用软件几乎肯定会出现意外错误信息。”

另一个方法是：禁止或者限制在错误处理中使用详细信息，不向用户显示调试信息。