Information Disclosure – Debug Error Messages

Was ist Information Disclosure – Debug Error Messages

Bei Information Disclosure – Debug Error Messages erzeugen Anwendungen häufig Fehlermeldungen und zeigen diese den Benutzern an. Diese Fehlermeldungen sind häufig hilfreich für Angreifer, da sie Implementierungsdetails oder Informationen enthalten, die zum Ausnutzen einer Sicherheitsanfälligkeit von Nutzen sind.

Beschreibung

Häufig werden auf diese Weise sensible Informationen, die für einen späteren Angriff verwendet werden können, oder private auf dem Server gespeicherte Informationen angezeigt.

Der Zweck der Überprüfung des Fehlerbehandlungscodes besteht darin, sicherzustellen, dass die Anwendung unter allen möglichen erwarteten und unerwarteten Fehlerbedingungen sicher ausfällt. Dem Benutzer werden keine vertraulichen Informationen angezeigt, wenn ein Fehler auftritt.

Das Ziel besteht darin, zu überprüfen, ob die Anwendung keine Informationen über Fehlermeldungen oder andere Mittel erhält. Daher überprüft dieser passive Security Scanner den Inhalt von Webantworten auf bekannte Debug-Fehlermeldungs-Fragmente. Der Zugriff auf diese Daten kann einem Angreifer die Möglichkeit bieten, die Website weiter auszunutzen. Diese könnte auch Informationen offenlegen, die nicht für den Endnutzer bestimmt sind.

Hinweis: Javascript-Antworten sind nur beim LOW Threshold bemessen.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Die Begrenzung der Offenlegung von Serverfehlernachrichten ist sowohl auf Anwendungs- als auch auf Serverebene anzuwenden.

  • Wenn eine Anwendung einem Benutzer einen Fehler anzeigt, sollte die Fehlermeldung die Ursache des Fehlers erklären können. Anstelle eines normalen Stack-Trace kann ein Angreifer zusätzliche Informationen über das System erlernen.
  • Die Behandlung von Fehlern auf Serverebene bezieht sich auf die benutzerdefinierten Fehlermeldungen für die Anwendung.

Jede Anwendung ist so sicher wie ihre schwächste Verbindung. Benutzerdefinierte Fehlerseiten werden von den Entwicklern oft ignoriert und bieten eine zusätzliche Sicherheit für die Anwendung, indem sie die interne Struktur ausblenden und in vielen Fällen den von den Programmierern implementierten Logikcode in den von der Anwendung zurückgegebenen Server-Fehlermeldungen ausblenden.

Geben Sie in Fehlermeldungen keine vertraulichen Informationen preis. Informationen wie Pfade im lokalen Dateisystem werden als privilegierte Informationen betrachtet. Alle systeminternen Informationen sollten dem Benutzer verborgen bleiben.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/209.html

https://www.owasp.org/index.php/Leakage_and_Improper_Error_Handling

https://www.owasp.org/index.php/Error_Handling


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte