# Generation of Error Message Containing Sensitive Information (CWE-209)

The product generates an error message that includes sensitive information about its environment, users, or associated data.

**Stack:** Go

- Prevalence: Media 3 lenguajes cubiertos
- Impact: Medio Se recomienda revisión
- Prevention: Documentada 5 ejemplos de corrección

**OWASP:** Insecure Design (A04:2021-Insecure Design) - #4

## Description

The sensitive information may be valuable information on its own, or it may be useful for launching other, more serious attacks. The error message may be created in different ways, and the information that is included can range widely.

## Prevention

Estrategias de prevención para Error Message Information Leak basadas en 1 reglas de detección de Shoulder.

### Go

Return generic error messages to clients; log detailed errors server-side

## Consequences

- Leer datos de la aplicación
- Leer archivos o directorios

## Mitigations

- Maneja las excepciones internamente y no muestres errores al usuario
- Crea páginas de error predeterminadas para errores HTTP como 404 y 500
- Implementa un manejo de errores adecuado que registre los detalles en el servidor pero muestre mensajes genéricos a los usuarios

## Detection

- Total rules: 5
- Languages: go, javascript, typescript, python

## Rules by Language

### Go (1 rules)

- **Database Error Information Exposure in HTTP Response** [MEDIUM]: Internal error messages or stack traces exposed to users in HTTP responses.
  - Remediation: Return generic error messages to users, log details server-side.

```go
if err != nil {
    log.Printf("internal error: %v", err) // Log details
    http.Error(w, "An error occurred", 500) // Generic response
    return
}
```

Learn more: https://shoulder.dev/learn/go/cwe-209/error-message-exposure