Application Error Scanner

von Rawpixel.com

Was ist Application Error Scanner?

Bei dem Application Error Scanner handelt es sich um einen Pr├╝fpunkt der OSG Performance Suite Security Funktion. Mit diesem Scanner soll sichergestellt werden, dass vertrauliche Information nicht in Fehlermeldungen enthalten sind. Daher werden Serverantworten auf HTTP 500 ÔÇô interne Server-Fehlertyp-Antworten oder auf einen bekannten Zeichenfolge-Fehler ├╝berpr├╝ft.

Beschreibung

Die Software generiert eine Fehlermeldung, die vertrauliche Informationen ├╝ber die Umgebung, Benutzer oder zugeh├Ârigen Daten enth├Ąlt.

Die vertraulichen Informationen selbst k├Ânnen wertvolle Informationen sein (z.B. ein Kennwort) oder n├╝tzlich sein, um andere, sch├Ądliche Angriffe zu starten. Wenn ein Angriff fehlschl├Ągt, kann ein Angreifer vom Server bereitgestellt Fehlerinformationen verwenden, um einen weiteren Angriff zu starten. Ein Versuch, eine Schwachstelle f├╝r die Pfaddurchquerung auszunutzen, kann beispielsweise den vollst├Ąndigen Pfadnamen der installierten Anwendung ergeben. Auf diese Weise kann die richtige Anzahl bestimmter Sequenzen ausgew├Ąhlt werden, um zur Zieldatei zu navigieren. Ein Angriff mit SQL Injection ist m├Âglicherweise anfangs nicht erfolgreich, aber eine Fehlermeldung kann dazu f├╝hren, dass die Abfragelogik und m├Âglicherweise sogar Kennw├Ârter oder andere vertrauliche Informationen in der Abfrage angezeigt werden.

H├Ąufig werden so sensible Informationen, die f├╝r einen sp├Ąteren Angriff verwendet werden k├Ânnen, oder private auf dem Server gespeicherte Informationen, angezeigt.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Es ist sicherzustellen, dass die Fehlermeldungen nur minimale Details enthalten, die ausschlie├člich f├╝r die beabsichtigte Zielgruppe n├╝tzlich sind. Die Meldungen m├╝ssen eine Balance zwischen kryptisch und nicht kryptisch finden. Die Methoden, mit denen der Fehler ermittelt wurde, sollte nicht offengelegt werden. Solche detaillierten Informationen k├Ânnen verwendet werden, um den urspr├╝nglichen Angriff zu verfeinern und die Erfolgschancen zu erh├Âhen.

Wenn Fehler detailliert nachverfolgt werden m├╝ssen, sollten diese in Protokollnachrichten erfasst werden. Dabei ist zu ber├╝cksichtigen, was geschehen k├Ânnte, wenn die Protokollnachrichten Angreifern angezeigt werden. Es ist zu vermeiden, dass hochsensible Informationen wie Passw├Ârter in irgendeiner Form aufgezeichnet werden. Inkonsistente Nachrichten, bei denen ein Angreifer versehentlich ├╝ber den internen Status informiert wird, z.B. ob ein Benutzername g├╝ltig ist oder nicht, sind zu vermeiden.

Ausnahmen sollten intern behandelt werden und Benutzern keine Fehler angezeigt werden, die m├Âglicherweise vertrauliche Informationen enthalten.

Falls verf├╝gbar, sollte die Umgebung so konfiguriert sein, dass weniger ausf├╝hrliche Fehlermeldungen verwendet werden. Deaktivieren Sie beispielsweise in PHP die Einstellung display_errors w├Ąhrend der Konfiguration oder mithilfe der Funktion error_reporting (). Standardfehlerseiten oder -meldungen sollten erstellt werden, die keine Informationen enthalten.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte