ウェブアプリケーションのデフォルトのエラーページは、製品に関する機密情報を表示すべきではありません。
ウェブ・アプリケーションは、4xx エラー(例えば 404)、5xx エラー(例えば 500)、そして java.lang.Throwable 例外をキャッチするためのデフォルトのエラー・ページを定義し、攻撃者がアプリケーション・コンテナの 組み込みのエラー・レスポンスから情報をマイニングするのを防がなければなりません。
攻撃者が脆弱性を探してウェブサイトを探索する場合、サイトが提供する情報量は、最終的に試みた攻撃の成否に重要な意味を持ちます。
The default error page of a web application should not display sensitive information about the product.
A Web application must define a default error page for 4xx errors (e.g. 404), 5xx (e.g. 500) errors and catch java.lang.Throwable exceptions to prevent attackers from mining information from the application container's built-in error response.
When an attacker explores a web site looking for vulnerabilities, the amount of information that the site provides is crucial to the eventual success or failure of any attempted attacks.