Information Disclosure – Debug Error Messages
Was ist Information Disclosure – Debug Error Messages
Bei Information Disclosure – Debug Error Messages erzeugen Anwendungen häufig Fehlermeldungen und zeigen diese den Benutzern an. Diese Fehlermeldungen sind häufig hilfreich für Angreifer, da sie Implementierungsdetails oder Informationen enthalten, die zum Ausnutzen einer Sicherheitsanfälligkeit von Nutzen sind.
Beschreibung
Häufig werden auf diese Weise sensible Informationen, die für einen späteren Angriff verwendet werden können, oder private auf dem Server gespeicherte Informationen angezeigt.
Der Zweck der Überprüfung des Fehlerbehandlungscodes besteht darin, sicherzustellen, dass die Anwendung unter allen möglichen erwarteten und unerwarteten Fehlerbedingungen sicher ausfällt. Dem Benutzer werden keine vertraulichen Informationen angezeigt, wenn ein Fehler auftritt.
Das Ziel besteht darin, zu überprüfen, ob die Anwendung keine Informationen über Fehlermeldungen oder andere Mittel erhält. Daher überprüft dieser passive Security Scanner den Inhalt von Webantworten auf bekannte Debug-Fehlermeldungs-Fragmente. Der Zugriff auf diese Daten kann einem Angreifer die Möglichkeit bieten, die Website weiter auszunutzen. Diese könnte auch Informationen offenlegen, die nicht für den Endnutzer bestimmt sind.
Hinweis: Javascript-Antworten sind nur beim LOW Threshold bemessen.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Die Begrenzung der Offenlegung von Serverfehlernachrichten ist sowohl auf Anwendungs- als auch auf Serverebene anzuwenden.
- Wenn eine Anwendung einem Benutzer einen Fehler anzeigt, sollte die Fehlermeldung die Ursache des Fehlers erklären können. Anstelle eines normalen Stack-Trace kann ein Angreifer zusätzliche Informationen über das System erlernen.
- Die Behandlung von Fehlern auf Serverebene bezieht sich auf die benutzerdefinierten Fehlermeldungen für die Anwendung.
Jede Anwendung ist so sicher wie ihre schwächste Verbindung. Benutzerdefinierte Fehlerseiten werden von den Entwicklern oft ignoriert und bieten eine zusätzliche Sicherheit für die Anwendung, indem sie die interne Struktur ausblenden und in vielen Fällen den von den Programmierern implementierten Logikcode in den von der Anwendung zurückgegebenen Server-Fehlermeldungen ausblenden.
Geben Sie in Fehlermeldungen keine vertraulichen Informationen preis. Informationen wie Pfade im lokalen Dateisystem werden als privilegierte Informationen betrachtet. Alle systeminternen Informationen sollten dem Benutzer verborgen bleiben.
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezüglich des Themas haben, dann können Sie sich gerne weiter über die Seite der CWE Organisation und oder auf der Seite von OWASP darüber weiter informieren.
Sie haben noch Fragen?