Information Disclosure – Senisitive Information in URL
Was ist Information Disclosure – Senisitive Information in URL?
Information Disclosure – Senisitive Information in URL, das Preisgeben von Informationen kann eine vorsätzliche oder unbeabsichtigte Weitergabe von Informationen an Dritte, ohne ausdrückliche Berechtigung zum Zugriff auf diese Informationen sein.
Beschreibung
Das Anzeigen von Informationen durch Abfragezeichenfolgen in URL erfolgt, wenn sensible Daten an Parameter in der URL übergeben werden. Dadurch können Angreifer sensible Daten wie Benutzernamen, Kennwörter, Token (authX), Datenbankdetails und andere potenziell sensible Daten abrufen. Die einfache Verwendung von HTTPS behebt diese Sicherheitsanfälligkeit nicht.
Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Die Schwere der Schwachstelle kann je nach Art der angezeigten Informationen sehr unterschiedlich sein. Security Scanner versuchen die Existenz von sensiblen Details innerhalb der URL selbst zu identifizieren (dies kann Parameter, Dokumentennamen, Verzeichnisnamen, usw. enthalten).
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Achten Sie beim Bereitstellen der Anwendung auf Dateien, die möglicherweise vertrauliche Daten enthalten, sowie auf diese Dateien angewendete Zugriffssteuerungslisten.
Platzieren Sie beim Umgang mit Webanwendungen alle sensiblen Inhalte außerhalb des Webroot-Verzeichnisses oder stellen Sie sicher, dass der Zugriff auf diese Dateien auf die Anwendung selbst beschränkt ist (z.B. kann nicht direkt mit einem Webbrowser auf die Datei zugegriffen werden).
Geben Sie niemals Debug-Informationen an den Browser des Benutzers aus, sondern verwenden Sie stattdessen Protokolldateien außerhalb des Webroot-Verzeichnisses.
Allgemeiner Schwachstellen-Datenbanklink
Wenn Sie noch Fragen bezüglich des Themas haben, dann können Sie sich gerne weiter über zwei Seiten der CWE Organisation und oder auf der Seite von OWASP darüber weiter informieren.
2. Seite der CWE OrganisationZu OWASP
Sie haben noch Fragen?
