Information Disclosure – Senisitive Information in URL

Was ist Information Disclosure ÔÇô Senisitive Information in URL?

Information Disclosure ÔÇô Senisitive Information in URL, das Preisgeben von Informationen kann eine vors├Ątzliche oder unbeabsichtigte Weitergabe von Informationen an Dritte, ohne ausdr├╝ckliche Berechtigung zum Zugriff auf diese Informationen sein.

Beschreibung

Das Anzeigen von Informationen durch Abfragezeichenfolgen in URL erfolgt, wenn sensible Daten an Parameter in der URL ├╝bergeben werden. Dadurch k├Ânnen Angreifer sensible Daten wie Benutzernamen, Kennw├Ârter, Token (authX), Datenbankdetails und andere potenziell sensible Daten abrufen. Die einfache Verwendung von HTTPS behebt diese Sicherheitsanf├Ąlligkeit nicht.

Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Die Schwere der Schwachstelle kann je nach Art der angezeigten Informationen sehr unterschiedlich sein. Security Scanner versuchen die Existenz von sensiblen Details innerhalb der URL selbst zu identifizieren (dies kann Parameter, Dokumentennamen, Verzeichnisnamen, usw. enthalten).

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Achten Sie beim Bereitstellen der Anwendung auf Dateien, die m├Âglicherweise vertrauliche Daten enthalten, sowie auf diese Dateien angewendete Zugriffssteuerungslisten.

Platzieren Sie beim Umgang mit Webanwendungen alle sensiblen Inhalte au├čerhalb des Webroot-Verzeichnisses oder stellen Sie sicher, dass der Zugriff auf diese Dateien auf die Anwendung selbst beschr├Ąnkt ist (z.B. kann nicht direkt mit einem Webbrowser auf die Datei zugegriffen werden).

Geben Sie niemals Debug-Informationen an den Browser des Benutzers aus, sondern verwenden Sie stattdessen Protokolldateien au├čerhalb des Webroot-Verzeichnisses.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber zwei Seiten der CWE Organisation und oder auf der Seite von OWASP dar├╝ber weiter informieren.

1. Seite der CWE Organisation

 

2. Seite der CWE Organisation Zu OWASP

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte