Generic Padding Oracle
Copyright © Shutterstock / BestForBest
Inhaltsverzeichnis
Was ist Generic Padding Oracle?
Beim Generic Padding Oracle generiert die Software eine Fehlermeldung, die vertrauliche Informationen über ihre Umgebung, Benutzer oder zugehörige Daten enthält.
Beschreibung
Die vertraulichen Informationen können z.B. ein Kennwort oder anderweitig nützliche Informationen sein, um weitere, schädlichere Angriffe zu starten. Wenn ein Angriff fehlschlägt, kann ein Angreifer Fehlerinformationen verwenden, die vom Server bereitgestellt werden, um einen weiteren Angriff zu starten. Ein Versuch, eine Schwachstelle für die Pfaddurchquerung auszunutzen, kann beispielsweise den vollständigen Pfadnamen der installierten Anwendung ergeben.
Dies könnte wiederum dazu verwendet werden, die richtige Anzahl von Sequenzen auszuwählen, um zur Zieldatei zu navigieren. Ein Angriff mit SQL Injection ist möglicherweise anfangs nicht erfolgreich, aber eine Fehlermeldung kann die fehlerhafte Abfrage aufdecken, wodurch die Abfragelogik und möglicherweise sogar Kennwörter oder andere vertrauliche Informationen in der Abfrage angezeigt werden.
Häufig werden auf diese Weise sensible Informationen, die für einen späteren Angriff verwendet werden können, oder private auf dem Server gespeicherte Informationen angezeigt.
Mit diesem Scanner wird versucht, das Auffüllen von verschlüsselten Zeichenfolgen zu manipulieren, um eine Fehlerreaktion auszulösen, die auf eine derartige Schwachstelle hinweist. Diese kann sich auf Anwendungen oder Frameworks auswirken, die nicht ordnungsgemäß verschlüsselt werden, z.B. einige Versionen von ASP.net, Java Server Faces und Mono.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Stellen Sie sicher, dass die Fehlermeldungen nur minimale Details enthalten, die für die beabsichtigte Zielgruppe nützlich sind, und für niemanden sonst. Die Nachrichten müssen das Gleichgewicht zwischen zu kryptisch und nicht kryptisch finden. Sie sollten nicht unbedingt die Methoden offenlegen, mit denen der Fehler ermittelt wurde. Solche detaillierten Informationen können verwendet werden, um den ursprünglichen Angriff zu verfeinern, um die Erfolgschancen zu erhöhen.
Wissenswertes
Wenn Fehler detailliert nachverfolgt werden müssen, erfassen Sie sie in Protokollnachrichten. Berücksichtigen Sie jedoch, was geschehen könnte, wenn die Protokollnachrichten einem Angreifer angezeigt werden. Vermeiden Sie es, hochsensible Informationen wie Passwörter in irgendeiner Form aufzuzeichnen. Vermeiden Sie inkonsistente Nachrichten, bei denen ein Angreifer versehentlich über den internen Status informiert wird, z.B. ob ein Benutzername gültig ist oder nicht.
Behandeln Sie Ausnahmen intern und zeigen Sie einem Benutzer keine Fehler an, die möglicherweise vertrauliche Informationen enthalten.
Falls verfügbar, konfigurieren Sie die Umgebung so, dass weniger ausführliche Fehlermeldungen verwendet werden. Deaktivieren Sie beispielsweise in PHP die Einstellung display_errors während der Konfiguration oder zur Laufzeit mithilfe der Funktion error_reporting ().
Allgemeiner Schwachstellen-Datenbanklink
Sie haben noch Fragen?
