Private IP disclosure

Was ist Private IP disclosure?

Bei der Private IP Disclosure werden private IP-Adressen offengelegt. Security Scanner ├╝berpr├╝fen den Antwortinhalt auf Einbindung von RFC 1918 IPv4-Adresse sowie auch Amazone EC2 private Hostnamen (zum Beispiel: ip-10-0-56-78). Diese Informationen k├Ânnen einem Angreifer n├╝tzliche Informationen ├╝ber das IP-Adressen-Schema des internen Netzwerks geben und kann auch f├╝r weitere Angriffe auf das interne System hilfreich sein. Dieser passive Scanner kann, im Fall von langen, punktierten Zahlenfolgen, wie vp09.02.51.10.01.09.16 bei denen die letzten 4 Achtbit-Zeichen eine RFC 1918 IPv4-Adresse zu sein scheinen, falsche Meldungen generieren.

Beschreibung

Informationsenth├╝llung ist eine vors├Ątzliche oder unbeabsichtigte Weitergabe von Informationen an einen Akteur, der nicht ausdr├╝cklich zum Zugriff auf diese Informationen berechtigt ist.

Solche Informationen sind sensibel innerhalb der eigenen Funktionalit├Ąt des Produkts, beispielsweise eine private Nachricht; oder Informationen ├╝ber das Produkt oder seine Umgebung, die f├╝r einen Angriff n├╝tzlich sein k├Ânnten, dem Angreifer jedoch normalerweise nicht zur Verf├╝gung stehen, z.B. der Installationspfad.
Daraus ergeben sich viele Informationsenth├╝llungen (z.B. ein PHP-Skript Fehler), sie k├Ânnen jedoch auch prim├Ąr sein (z.B. zeitliche Abweichungen bei der Kryptografie). Es gibt viele verschiedene Arten von Problemen, die Informationen enthalten. Ihr Schweregrad kann je nach Art der Informationen, die angezeigt werden, sehr unterschiedlich sein.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Ein Analyst kann nach der ├ťberpr├╝fung solche Falschmeldungen in ZAP markieren. Zur Handhabung w├Ąhrend der wiederholten Scans kann das “Context Alert Filter”-Add-on herangezogen werden.

Unterteilen Sie das System, um “sichere” Bereiche zu erhalten, in denen Vertrauensgrenzen eindeutig festgelegt werden k├Ânnen. Lassen Sie nicht zu, dass sensible Daten diese Grenze ├╝berschreiten, und seien Sie immer vorsichtig, wenn Sie eine Verbindung au├čerhalb des sicheren Bereichs herstellen.

Stellen Sie sicher, dass eine geeignete Unterteilung in das Systemdesign integriert ist und dass die Unterteilung dazu dient, die Privilegien zuzulassen und weiter zu verst├Ąrken. Wenden Sie das Prinzip des geringsten Privilegs an, um zu entscheiden, wann es angebracht ist, Systemprivilegien zu nutzen und zu widerrufen.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bez├╝glich des Themas haben, dann k├Ânnen Sie gerne hier den Link klicken.

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte