Cookie Slack Detector
Copyright © Shutterstock / Voyagerix
Inhaltsverzeichnis
Was ist Cookie Slack Detector?
Definition
Unter Cookie Slack versteht man die vorsätzliche oder unbeabsichtigte Weitergabe von Informationen an einen Akteur, der nicht ausdrücklich zum Zugriff auf diese Informationen berechtigt ist.
Beschreibung
Die Informationen werden entweder:
- als sensibel innerhalb der eigenen Funktionalität des Produkts betrachtet, z. B. einer privaten Nachricht; oder
- enthält Informationen über das Produkt oder seine Umgebung, die für einen Angriff nützlich sein könnten, dem Angreifer jedoch normalerweise nicht zur Verfügung stehen, z. B. der Installationspfad eines Produkts, auf das remote zugegriffen werden kann.
Viele Cookie Slacks resultieren z. B. aus PHP-Skriptfehlern, die den vollständigen Pfad des Programms enthüllen. Sie können jedoch auch aus z. B. zeitliche Abweichungen bei der Kryptografie resultieren. Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Ihr Schweregrad kann je nach Art der Informationen, die angezeigt werden, sehr unterschiedlich sein.
Mit dem Cookie Slack Detector testet Cookies, um festzustellen, ob diese keine Auswirkung auf die Antwortgröße haben. Cookies, die “Sitzung” oder Benutzer-ID” im Namen enthalten, werden besonders geprüft.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Mögliche Lösung
Ordnen Sie das System in “sichere” Bereiche, in denen Vertrauensgrenzen eindeutig festgelegt werden können. Erlauben Sie nicht, dass sensible Daten die Vertrauensgrenze überschreiten, und seien Sie immer vorsichtig, wenn Sie eine Verbindung zu einem Bereich außerhalb des sicheren Bereichs herstellen.
Stellen Sie sicher, dass eine geeignete Unterteilung in das Systemdesign integriert ist und dass die Unterteilung dazu dient, die Funktionstrennungsfunktion zuzulassen und weiter zu verstärken. Architekten und Designer sollten sich auf das Prinzip des geringsten Privilegs verlassen, um zu entscheiden, wann es angebracht ist, Systemprivilegien zu nutzen und zu löschen.
Datenbanklink zur Schwachstelle
Sie haben noch Fragen?
