Bundesamt für Sicherheit in der Informationstechnik

G 4.87 Offenlegung vertraulicher Informationen bei Webanwendungen

Webseiten und Daten, die von einer Webanwendung generiert und ausgeliefert werden, können vertrauliche Informationen enthalten, die nicht für die Nutzung der Webanwendung erforderlich sind, zum Beispiel Angaben zu Produkt und Versionsständen von Frameworks. Diese Informationen können einem Angreifer Hinweise zur Durchführung gezielter Angriffe auf die Webanwendung geben. Wenn also Informationen unnötig offengelegt werden, kann dies einen Angriff erleichtern. Hierbei können Informationen auch über weniger offensichtliche Übertragungswege übermittelt werden, zum Beispiel im HTTP - oder SOAP -Header.

Beispiele:

  • Es werden detaillierte Informationen über Sicherheitsmechanismen oder -attribute ausgegeben, die für einen Benutzer der Webanwendung nicht notwendig sind, aber Hinweise für potenzielle Angriffe geben, zum Beispiel "Geben Sie bitte die 6-stellige, numerische PIN ein" anstelle von "Geben Sie bitte die PIN ein". Aufgrund dieser Information könnte ein Angreifer den möglichen Zeichenraum bei einem Brute-Force-Angriff einschränken und somit schneller eine gültige PIN ermitteln.
  • Kommentare, zum Beispiel im HTML -Quelltext, können Informationen zu bekannten Fehlern, Funktionsweisen, eingesetzten Techniken und der angebundenen Infrastruktur beinhalten. Ein Angreifer kann hierdurch gezielt nach Schwachstellen in der Webanwendung und der Infrastruktur suchen und diese ausnutzen. Werden beispielsweise die in der Entwicklungsphase verwendeten Zugangsdaten für eine Datenbank in Kommentaren erwähnt, können Angreifer diese womöglich auch noch im produktiven Betrieb der Webanwendung für den unautorisierten Zugriff benutzen.
  • Dateien mit unbekannter Dateiendung, zum Beispiel temporäre Dateien mit .tmp oder Backup-Dateien mit .bak von Skripten der Webanwendung, werden von der Webanwendung im Quelltext ausgeliefert. Auf diese Weise lassen sich vertrauliche Informationen wie fest kodierte Zugangsdaten auslesen. Darüber hinaus können Angreifer Programmabläufe aus offengelegten Code auf Schwachstellen untersuchen.
  • Besitzt ein Angreifer die nötigen Informationen, um XML -Nachrichten innerhalb eines Transportcontainers zu erstellen, so kann er testen, ob bestimmte Parameter innerhalb einer Nachricht übermittelt werden, zum Beispiel in REST , SOAP , ZIP. Die zurückkommenden Fehlermeldungen des Service-Providers beinhalten eventuell für einen Angriff nützliche Informationen, zum Beispiel Angaben über das verwendete Framework, Programmbibliotheken oder interne Systemstrukturen. Darüber hinaus kann der Angreifer gegebenenfalls über Fehlercodes feststellen, ob Eingaben geprüft oder bestimmte Aktionen ungefiltert durchgeführt werden. Findet keine Filterung statt, kann er sogenannte Injection-Angriffe durchführen. Diese stellen eine erhebliche Bedrohung für die Backend-Anwendungen dar (siehe G 5.143 Man-in-the-Middle-Angriff ).

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK