Information Disclosure – Senisitive Information in URL

Was ist Information Disclosure – Senisitive Information in URL?

Information Disclosure – Senisitive Information in URL, das Preisgeben von Informationen kann eine vorsätzliche oder unbeabsichtigte Weitergabe von Informationen an Dritte, ohne ausdrückliche Berechtigung zum Zugriff auf diese Informationen sein.

Beschreibung

Das Anzeigen von Informationen durch Abfragezeichenfolgen in URL erfolgt, wenn sensible Daten an Parameter in der URL übergeben werden. Dadurch können Angreifer sensible Daten wie Benutzernamen, Kennwörter, Token (authX), Datenbankdetails und andere potenziell sensible Daten abrufen. Die einfache Verwendung von HTTPS behebt diese Sicherheitsanfälligkeit nicht.

Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Die Schwere der Schwachstelle kann je nach Art der angezeigten Informationen sehr unterschiedlich sein. Security Scanner versuchen die Existenz von sensiblen Details innerhalb der URL selbst zu identifizieren (dies kann Parameter, Dokumentennamen, Verzeichnisnamen, usw. enthalten).

Lösung

Achten Sie beim Bereitstellen der Anwendung auf Dateien, die möglicherweise vertrauliche Daten enthalten, sowie auf diese Dateien angewendete Zugriffssteuerungslisten.

Platzieren Sie beim Umgang mit Webanwendungen alle sensiblen Inhalte außerhalb des Webroot-Verzeichnisses oder stellen Sie sicher, dass der Zugriff auf diese Dateien auf die Anwendung selbst beschränkt ist (z.B. kann nicht direkt mit einem Webbrowser auf die Datei zugegriffen werden).

Geben Sie niemals Debug-Informationen an den Browser des Benutzers aus, sondern verwenden Sie stattdessen Protokolldateien außerhalb des Webroot-Verzeichnisses.