Generic Padding Oracle

Was ist Generic Padding Oracle?

Beim Generic Padding Oracle generiert die Software eine Fehlermeldung, die vertrauliche Informationen ├╝ber ihre Umgebung, Benutzer oder zugeh├Ârige Daten enth├Ąlt.

Beschreibung

Die vertraulichen Informationen k├Ânnen z.B. ein Kennwort oder anderweitig n├╝tzliche Informationen sein, um weitere, sch├Ądlichere Angriffe zu starten. Wenn ein Angriff fehlschl├Ągt, kann ein Angreifer Fehlerinformationen verwenden, die vom Server bereitgestellt werden, um einen weiteren Angriff zu starten. Ein Versuch, eine Schwachstelle f├╝r die Pfaddurchquerung auszunutzen, kann beispielsweise den vollst├Ąndigen Pfadnamen der installierten Anwendung ergeben. Dies k├Ânnte wiederum dazu verwendet werden, die richtige Anzahl von Sequenzen auszuw├Ąhlen, um zur Zieldatei zu navigieren. Ein Angriff mit SQL Injection ist m├Âglicherweise anfangs nicht erfolgreich, aber eine Fehlermeldung kann die fehlerhafte Abfrage aufdecken, wodurch die Abfragelogik und m├Âglicherweise sogar Kennw├Ârter oder andere vertrauliche Informationen in der Abfrage angezeigt werden.

H├Ąufig werden auf diese Weise sensible Informationen, die f├╝r einen sp├Ąteren Angriff verwendet werden k├Ânnen, oder private auf dem Server gespeicherte Informationen angezeigt.

Mit diesem Scanner wird versucht das Auff├╝llen von verschl├╝sselten Zeichenfolgen zu manipulieren, um eine Fehlerreaktion auszul├Âsen, die auf eine derartige Schwachstelle hinweist. Diese kann sich auf Anwendungen oder Frameworks auswirken, die nicht ordnungsgem├Ą├č verschl├╝sselt werden, z.B. einige Versionen von ASP.net, Java Server Faces und Mono.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Stellen Sie sicher, dass die Fehlermeldungen nur minimale Details enthalten, die f├╝r die beabsichtigte Zielgruppe n├╝tzlich sind, und f├╝r niemanden sonst. Die Nachrichten m├╝ssen das Gleichgewicht zwischen zu kryptisch und nicht kryptisch finden. Sie sollten nicht unbedingt die Methoden offenlegen, mit denen der Fehler ermittelt wurde. Solche detaillierten Informationen k├Ânnen verwendet werden, um den urspr├╝nglichen Angriff zu verfeinern, um die Erfolgschancen zu erh├Âhen.

Wenn Fehler detailliert nachverfolgt werden m├╝ssen, erfassen Sie sie in Protokollnachrichten. Ber├╝cksichtigen Sie jedoch, was geschehen k├Ânnte, wenn die Protokollnachrichten einem Angreifer angezeigt werden. Vermeiden Sie es, hochsensible Informationen wie Passw├Ârter in irgendeiner Form aufzuzeichnen. Vermeiden Sie inkonsistente Nachrichten, bei denen ein Angreifer versehentlich ├╝ber den internen Status informiert wird, z.B. ob ein Benutzername g├╝ltig ist oder nicht.

Behandeln Sie Ausnahmen intern und zeigen Sie einem Benutzer keine Fehler an, die m├Âglicherweise vertrauliche Informationen enthalten.

Falls verf├╝gbar, konfigurieren Sie die Umgebung so, dass weniger ausf├╝hrliche Fehlermeldungen verwendet werden. Deaktivieren Sie beispielsweise in PHP die Einstellung display_errors w├Ąhrend der Konfiguration oder zur Laufzeit mithilfe der Funktion error_reporting ().

Allgemeiner Schwachstellen-Datenbanklink

https://cwe.mitre.org/data/definitions/209.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte