Information Disclosure – Senisitive Information on HTTP Referrer Header

Was ist Information Disclosure ÔÇô Senisitive Information on HTTP Referrer Header?

Information Disclosure ÔÇô Senisitive Information on HTTP Referrer Header, das Preisgeben von Informationen kann eine vors├Ątzliche oder unbeabsichtigte Weitergabe von Informationen an Dritte, ohne ausdr├╝ckliche Berechtigung zum Zugriff auf diese Informationen sein.

Beschreibung

Befindet sich die angeforderten Ressourcen┬áin einer anderen Domain, ist der Referrer Header immer noch generell in der Cross-Scripting Anfrage┬áenthalten. Wenn die Ursprungs-URL in ihrer Abfragezeichenfolge vertrauliche Informationen enth├Ąlt, z.B. ein Sitzungstoken, werden diese Informationen an die andere Dom├Ąne ├╝bermittelt. Wenn die andere Domain von der Anwendung nicht vollst├Ąndig als vertrauensw├╝rdig eingestuft wird, kann dies zu einem Sicherheitsrisiko f├╝hren.

Beachten Sie auch, dass ein Angreifer bei vom Benutzer erstellten Inhalten Links einf├╝gen kann, die auf eine von Angreifer kontrollierte Domain verweisen, um Daten von URLs zu erfassen, die in der Anwendung verwendet werden.

Security Scanner identifizieren sensible Details in dem Referrer-Header-Feld von HTTP-Anfragen (dies kann Parameter, Dokumentennamen, usw. enthalten).

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Anwendungen sollten niemals sensible Informationen innerhalb der URL-Abfragezeichenfolge ├╝bertragen. Diese Informationen k├Ânnen nicht nur in der Referrer Header verlaufen, sondern auch an verschiedenen Stellen protokolliert werden und f├╝r nicht vertrauensw├╝rdige Parteien sichtbar sein. Wenn das Platzieren vertraulicher Informationen in der URL unvermeidbar ist, sollten Sie die Verwendung des HTTP-Headers “Referer-Policy” in Betracht ziehen, um die Wahrscheinlichkeit zu verringern, dass diese Informationen an Dritte weitergegeben werden.

Stellen Sie sicher, dass eine geeignete Unterteilung in das Systemdesign integriert ist und dass die Unterteilung dazu dient, die Privileg-Trennungen zuzulassen und weiter zu verst├Ąrken. Dabei sollte man sich auf das Prinzip des geringsten Privilegs verlassen, um zu entscheiden, wann es angebracht ist, Systemprivilegien zu nutzen und zu l├Âschen.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation und oder der Seite der Portswigger dar├╝ber weiter informieren.

CWE Organisation Portswigger

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte