Information Disclosure – Suspicious Comments

Was ist Information Disclosure – Suspicious Commments?

Bei Information Disclosure – Suspicious Comments (Informationsenth├╝llung durch verd├Ąchtige Kommentare) scheint die Antwort verd├Ąchtige Kommentare zu enthalten, die einem Angreifer helfen.

Informationsenth├╝llung ist eine vors├Ątzliche oder unbeabsichtigte Weitergabe von Informationen an einen Akteur, der nicht ausdr├╝cklich zum Zugriff auf diese Informationen berechtigt ist.

Beschreibung

Solche Informationen sind:

  • sensibel innerhalb der eigenen Funktionalit├Ąt des Produkts, beispielsweise eine private Nachricht; oder
  • Informationen ├╝ber das Produkt oder seine Umgebung, die f├╝r einen Angriff n├╝tzlich sein k├Ânnten, dem Angreifer jedoch normalerweise nicht zur Verf├╝gung stehen, z.B. der Installationspfad.

Daraus ergeben sich viele Informationsenth├╝llungen (z.B. ein PHP-Skript Fehler), sie k├Ânnen jedoch auch prim├Ąr sein (z.B. zeitliche Abweichungen bei der Kryptografie). Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Ihr Schweregrad kann je nach Art der Informationen, die angezeigt werden, sehr unterschiedlich sein.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Entfernen aller Kommentare, die Informationen zur├╝ckgeben, die einem Angreifer helfen k├Ânnen und beheben aller zugrundeliegenden Probleme, auf die sich diese beziehen.

Unterteilen Sie das System, um “sichere” Bereiche zu erhalten, in denen Vertrauensgrenzen eindeutig festgelegt werden k├Ânnen. Lassen Sie nicht zu, dass sensible Daten diese Grenze ├╝berschreiten, und seien Sie immer vorsichtig, wenn Sie eine Verbindung au├čerhalb des sicheren Bereichs herstellen.

Stellen Sie sicher, dass eine geeignete Unterteilung in das Systemdesign integriert ist und dass die Unterteilung dazu dient, die Privilegien zuzulassen und weiter zu verst├Ąrken. Wenden Sie das Prinzip des geringsten Privilegs an, um zu entscheiden, wann es angebracht ist, Systemprivilegien zu nutzen und zu widerrufen.

Datenbanklink zur Schwachstelle

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie sich gerne weiter ├╝ber die Seite der CWE Organisation dar├╝ber weiter informieren.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte