Information Disclosure – Debug Error Messages

Was ist Information Disclosure – Debug Error Messages

Bei Information Disclosure – Debug Error Messages erzeugen Anwendungen h├Ąufig Fehlermeldungen und zeigen diese den Benutzern an. Diese Fehlermeldungen sind h├Ąufig hilfreich f├╝r Angreifer, da sie Implementierungsdetails oder Informationen enthalten, die zum Ausnutzen einer Sicherheitsanf├Ąlligkeit von Nutzen sind.

Beschreibung

H├Ąufig werden auf diese Weise sensible Informationen, die f├╝r einen sp├Ąteren Angriff verwendet werden k├Ânnen, oder private auf dem Server gespeicherte Informationen angezeigt.

Der Zweck der ├ťberpr├╝fung des Fehlerbehandlungscodes besteht darin, sicherzustellen, dass die Anwendung unter allen m├Âglichen erwarteten und unerwarteten Fehlerbedingungen sicher ausf├Ąllt. Dem Benutzer werden keine vertraulichen Informationen angezeigt, wenn ein Fehler auftritt.

Das Ziel besteht darin, zu ├╝berpr├╝fen, ob die Anwendung keine Informationen ├╝ber Fehlermeldungen oder andere Mittel erh├Ąlt. Daher ├╝berpr├╝ft dieser passive Security Scanner den Inhalt von Webantworten auf bekannte Debug-Fehlermeldungs-Fragmente. Der Zugriff auf diese Daten kann einem Angreifer die M├Âglichkeit bieten, die Website weiter auszunutzen. Diese k├Ânnte auch Informationen offenlegen, die nicht f├╝r den Endnutzer bestimmt sind.

Hinweis: Javascript-Antworten sind nur beim LOW Threshold bemessen.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Die Begrenzung der Offenlegung von Serverfehlernachrichten ist sowohl auf Anwendungs- als auch auf Serverebene anzuwenden.

  • Wenn eine Anwendung einem Benutzer einen Fehler anzeigt, sollte die Fehlermeldung die Ursache des Fehlers erkl├Ąren k├Ânnen. Anstelle eines normalen Stack-Trace kann ein Angreifer zus├Ątzliche Informationen ├╝ber das System erlernen.
  • Die Behandlung von Fehlern auf Serverebene bezieht sich auf die benutzerdefinierten Fehlermeldungen f├╝r die Anwendung.

Jede Anwendung ist so sicher wie ihre schw├Ąchste Verbindung. Benutzerdefinierte Fehlerseiten werden von den Entwicklern oft ignoriert und bieten eine zus├Ątzliche Sicherheit f├╝r die Anwendung, indem sie die interne Struktur ausblenden und in vielen F├Ąllen den von den Programmierern implementierten Logikcode in den von der Anwendung zur├╝ckgegebenen Server-Fehlermeldungen ausblenden.

Geben Sie in Fehlermeldungen keine vertraulichen Informationen preis. Informationen wie Pfade im lokalen Dateisystem werden als privilegierte Informationen betrachtet. Alle systeminternen Informationen sollten dem Benutzer verborgen bleiben.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation und oder auf der Seite von OWASP dar├╝ber weiter informieren.

CWE Organisation OWASP

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte