Skip to main content

Application Error Scanner

Was ist Application Error Scanner?

Bei dem Application Error Scanner handelt es sich um einen Prüfpunkt der OSG Performance Suite Security Funktion. Mit diesem Scanner soll sichergestellt werden, dass vertrauliche Information nicht in Fehlermeldungen enthalten sind. Daher werden Serverantworten auf HTTP 500 – interne Server-Fehlertyp-Antworten oder auf einen bekannten Zeichenfolge-Fehler überprüft.

Beschreibung

Die Software generiert eine Fehlermeldung, die vertrauliche Informationen über die Umgebung, Benutzer oder zugehörigen Daten enthält.

Die vertraulichen Informationen selbst können wertvolle Informationen sein (z.B. ein Kennwort) oder nützlich sein, um andere, schädliche Angriffe zu starten. Wenn ein Angriff fehlschlägt, kann ein Angreifer vom Server bereitgestellt Fehlerinformationen verwenden, um einen weiteren Angriff zu starten. Ein Versuch, eine Schwachstelle für die Pfaddurchquerung auszunutzen, kann beispielsweise den vollständigen Pfadnamen der installierten Anwendung ergeben. Auf diese Weise kann die richtige Anzahl bestimmter Sequenzen ausgewählt werden, um zur Zieldatei zu navigieren. Ein Angriff mit SQL Injection ist möglicherweise anfangs nicht erfolgreich, aber eine Fehlermeldung kann dazu führen, dass die Abfragelogik und möglicherweise sogar Kennwörter oder andere vertrauliche Informationen in der Abfrage angezeigt werden.

Häufig werden so sensible Informationen, die für einen späteren Angriff verwendet werden können, oder private auf dem Server gespeicherte Informationen, angezeigt.

Lösung

Es ist sicherzustellen, dass die Fehlermeldungen nur minimale Details enthalten, die ausschließlich für die beabsichtigte Zielgruppe nützlich sind. Die Meldungen müssen eine Balance zwischen kryptisch und nicht kryptisch finden. Die Methoden, mit denen der Fehler ermittelt wurde, sollte nicht offengelegt werden. Solche detaillierten Informationen können verwendet werden, um den ursprünglichen Angriff zu verfeinern und die Erfolgschancen zu erhöhen.

Wenn Fehler detailliert nachverfolgt werden müssen, sollten diese in Protokollnachrichten erfasst werden. Dabei ist zu berücksichtigen, was geschehen könnte, wenn die Protokollnachrichten Angreifern angezeigt werden. Es ist zu vermeiden, dass hochsensible Informationen wie Passwörter in irgendeiner Form aufgezeichnet werden. Inkonsistente Nachrichten, bei denen ein Angreifer versehentlich über den internen Status informiert wird, z.B. ob ein Benutzername gültig ist oder nicht, sind zu vermeiden.

Ausnahmen sollten intern behandelt werden und Benutzern keine Fehler angezeigt werden, die möglicherweise vertrauliche Informationen enthalten.

Falls verfügbar, sollte die Umgebung so konfiguriert sein, dass weniger ausführliche Fehlermeldungen verwendet werden. Deaktivieren Sie beispielsweise in PHP die Einstellung display_errors während der Konfiguration oder mithilfe der Funktion error_reporting ().

Standardfehlerseiten oder -meldungen sollten erstellt werden, die keine Informationen enthalten.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/209.html

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG

Application Error Scanner
5 (100%) 1 vote[s]