Servletはすべての例外を捕捉するわけではないので、デバッグ用の機密情報が漏れる可能性があります。
Servletが例外を投げると、Servletコンテナがユーザーに送り返すデフォルトのエラー応答には、通常デバッグ情報が含まれます。この情報は攻撃者にとって大きな価値があります。例えば、スタックトレースは、攻撃者に不正な SQL クエリ文字列、使用されているデータベースのタイプ、アプリケーションコンテナの バージョンを示すかもしれません。この情報により、攻撃者はこれらのコンポーネントの既知の脆弱性を標的にすることができます。
The Servlet does not catch all exceptions, which may reveal sensitive debugging information.
When a Servlet throws an exception, the default error response the Servlet container sends back to the user typically includes debugging information. This information is of great value to an attacker. For example, a stack trace might show the attacker a malformed SQL query string, the type of database being used, and the version of the application container. This information enables the attacker to target known vulnerabilities in these components.