# Generation of Error Message Containing Sensitive Information (CWE-209)

The product generates an error message that includes sensitive information about its environment, users, or associated data.

**Stack:** Go

- Prevalence: Moyenne 3 langages couverts
- Impact: Moyen Revue recommandée
- Prevention: Documentée 5 exemples de correctifs

**OWASP:** Insecure Design (A04:2021-Insecure Design) - #4

## Description

The sensitive information may be valuable information on its own, or it may be useful for launching other, more serious attacks. The error message may be created in different ways, and the information that is included can range widely.

## Prevention

Stratégies de prévention pour Error Message Information Leak basées sur 1 règles de détection Shoulder.

### Go

Return generic error messages to clients; log detailed errors server-side

## Consequences

- Lecture des données de l'application
- Lire des fichiers ou des répertoires

## Mitigations

- Gérez les exceptions en interne et n'affichez pas d'erreurs à l'utilisateur
- Créez des pages d'erreur par défaut pour les erreurs HTTP telles que 404 et 500
- Mettez en place une gestion d'erreurs qui enregistre les détails côté serveur tout en affichant des messages génériques aux utilisateurs

## Detection

- Total rules: 5
- Languages: go, javascript, typescript, python

## Rules by Language

### Go (1 rules)

- **Database Error Information Exposure in HTTP Response** [MEDIUM]: Internal error messages or stack traces exposed to users in HTTP responses.
  - Remediation: Return generic error messages to users, log details server-side.

```go
if err != nil {
    log.Printf("internal error: %v", err) // Log details
    http.Error(w, "An error occurred", 500) // Generic response
    return
}
```

Learn more: https://shoulder.dev/learn/go/cwe-209/error-message-exposure