Backup File Disclosure
Was ist Backup File Disclosure?
Bei der Backup File Disclosure wird ein Backup des Ordners vom Webserver offengelegt. Zudem setzt die Webanwendung die entsprechende Autorisierung für alle eingeschränkten URLs, Skripts oder Dateien nicht angemessen durch.
Webanwendungen, die für Angriffe mit direkter Anforderung anfällig sind, enthalten häufig falsche Annahmen, dass solche Ressourcen nur über einen bestimmten Navigationspfad erreichbar sind und daher nur an bestimmten Punkten des Pfads eine Autorisierung durchgeführt wird.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Um sicherzustellen, dass keine Backup File Disclosure stattfindet, sollten Ordner auf dem Webserver nicht bearbeiten werden. Auch ist sicherzugehen, dass unnötige Ordner, inklusive versteckter Ordner, vom Webserver entfernt werden.
Zusätzlich sind für jeden Zugriff auf eingeschränkten URLs, Skripts oder Dateien die entsprechenden Zugriffssteuerungsberechtigungen anzuwenden. Es ist erwägen, MVC-basierten Frameworks zu verwenden.
- Hinweis: Überlappung von Modification of Assumed-Immutable Data (MAID), Autorisierungsfehler, Containerfehler; oft primär zu andere Schwachstellen wie XSS und SQL Injection.
Datenbanklink zur Schwachstelle
https://cwe.mitre.org/data/definitions/425.html
http://projects.webappsec.org/Predictable-Resource-Location
Sie haben noch Fragen?