Source Code Disclosure

source-code-disclosure

Copyright ┬ę Shutterstock /everything possible

Was ist Source Code Disclosure?

Die Offenlegung des Quellcodes (Source Code Disclosure) ist ein h├Ąufiges Sicherheitsproblem in┬á Webanwendungen. Diese Sicherheitsschwachstelle wird regelm├Ą├čig in der OWASP Top 10 gelistet. Diese Liste mit anerkannten und typischen Sicherheitsanf├Ąlligkeiten wird von der Non-Profit Organisation OWASP (Open Web Application Security Project) mit dem Ziel der Verbesserung der Software- und Internetsicherheit herausgegeben.

Hinweis

Wenn Sie noch weiter Informationen bez├╝glich des Themas OWASP Top 10 ben├Âtigen, k├Ânnen Sie sich gerne auf unserem Glossar dar├╝ber oder auch ├╝ber andere Themen weiterbilden.

Beschreibung

Der Quellcode einer Anwendung wird vom Webserver offengelegt. Der serverseitig aufbewahrte Quellcode kann somit an Benutzer weitergegeben werden. Dieser Code kann u.a. vertrauliche Informationen enthalten, beispielsweise Datenbankkennw├Ârter und geheime Schl├╝ssel, die es Angreifern erleichtern, Angriffe auf die Anwendung zu formulieren und durchzuf├╝hren.

Serverseitiger Quellcode wird Clients normalerweise als Folge von typografischen Fehlern in Skripts oder aufgrund fehlerhafter Konfiguration, z.B. aufgrund fehlgeschlagener Berechtigungen f├╝r ein Skript oder Verzeichnis, offengelegt. ├ťberpr├╝fen Sie die Ursache f├╝r die Offenlegung des Codes und verhindern Sie deren Auftreten.

Varianten der Source Code Disclosure

Es gibt mehrere M├Âglichkeiten, wie der Quellcode offengelegt werden kann:

CVE-2012-1823

Bei der Source Code Disclosure kann CVE-2012-1823 genutzt werden, um serverseitigen PHP-Quellcode auf einem PHP-CGI-basierten Webserver offenzulegen. Dabei werden nur textbasierte Antworten (HTML, LS, JSON, XML usw.) analysiert, um falsche positive Ergebnisse zu vermeiden, die mit Bild oder anderen bin├Ąren Inhalten auftreten k├Ânnen.

Wird beispielsweise angenommen, dass bestimmte Eingaben nicht ge├Ąndert werden k├Ânnen, wird unter Umst├Ąnden keine ausreichende ├ťberpr├╝fung der Eingaben durchgef├╝hrt, obwohl diese mit einem Proxy oder einem benutzerdefinierten Programm ver├Ąndert werden k├Ânnen.

File Inclusion

Bei der File Inclusion wird der Quellcode offengelegt, wenn eine lokale Datei ├╝ber Quelltext auf dem Webserver verf├╝gt. Auf diese Weise k├Ânnen vorhandene vertrauliche Informationen, wie Benutzernamen, Kennw├Ârter, etc., die sich auf die Anwendung und das System beziehen, offengelegt werden.

SVN

Bei der SVN Source Code Disclosure wird der Quellcode offengelegt, wenn Dateien Quelltext von Subversion-Metadaten auf dem Webserver gespeichert sind. Auf diese Weise k├Ânnen System- und Anwendungsinformationen, wie Zugangsdaten, Passw├Ârter, etc. preisgeben werden.

WEB-INF Folder

Wird der Quellcode durch einen vorhandener ungesch├╝tzter /WEB-INF-Ordner, wird von einer┬á WEB-INF Folder Offenlegung gesprochen. Der ungesch├╝tzte Ordner wird zum Herunterladen und dekompilieren von Java-Klassen genutzt, um auf diese Wiese Java-Quellcode offenlegen zu k├Ânnen.

Git

Bei der Source Code Disclosure durch Git wird der Quellcode von Daten offengelegt, wenn sich Git-Quelltex-Metadaten auf dem Webserver befinden. Somit werden vertrauliche Informationen, Zugangsdaten oder ├Ąhnliches f├╝r Angreifer leichter zug├Ąnglich gemacht.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://www.youtube.com/watch?v=-ETir_tcmWQ

Vermeidung

Um zu verhindern, dass vertrauliche Informationen durch die Source Code Disclosure unbefugten Dritte zug├Ąnglich gemacht werden, sollten keine sensiblen Daten in Dateien auf dem Webserver gespeichert werden.

Um sicherzustellen, dass die Daten vor einer Offenlegung gesch├╝tzt sind, sollten die folgenden Schritte ausgef├╝hrt werden:

Best├Ątigen Sie genau, welche Aspekte des Quellcodes tats├Ąchlich ver├Âffentlicht werden. Aufgrund der Einschr├Ąnkungen bez├╝glich der Sicherheitsanf├Ąlligkeit kann dies m├Âglicherweise nicht in allen F├Ąllen best├Ątigt werden. Best├Ątigen Sie, dass dies keine beabsichtigte Funktionalit├Ąt ist.
Wenn es sich um eine Datei handelt, die von der Anwendung ben├Âtigt wird, ├Ąndern Sie die Berechtigungen, um zu verhindern, dass ├Âffentliche Benutzer darauf zugreifen. Wenn nicht, entfernen Sie es vom Webserver.
Stellen Sie sicher, dass auf dem Server alle aktuellen Sicherheitspatches installiert sind.
Entfernen Sie alle tempor├Ąren Dateien und Sicherungsdateien vom Webserver.

Bei der Offenlegung von Quellcode durch CVE-2012-1823 ist zu beachten, dass dieser bereits bei der Implementierung der Sicherheitsstrategie verursacht wird. Daher sollte schon von Beginn an eine Validierung von Eingaben verwendet werden.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

FAQ

Wo kann ich noch Definitionen zum Thema noch lesen?

Wir haben f├╝r Sie 5 Links, wo Sie in jeweils in eine andere Seite gehen um dort die speziellen Definitionen zu lesen: Link 1, Link 2, Link 3, Link 4 und Link 5

Hinweis

Wenn Sie noch weitere Informationen bez├╝glich des Themas Online Marketing ben├Âtigen, k├Ânnen Sie sich gerne auf unserem Glossar weiter dar├╝ber informieren.

Zum Glossar

Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte