Das Preisgeben von Informationen zur Konfiguration oder internen Abläufen einer Webanwendung oder Datenbank ist neben dem Cross-Site-Scripting eines der häufigsten Probleme bei Webseiten. Bei dieser Sicherheitslücke werden vor allem Informationen gesammelt, die für andere Angriffsverfahren genutzt werden.
Die Quellen für diese Informationen sind meist Fehlermeldungen die unmaskiert auf der Website angezeigt werden. Diese Fehlermeldungen bieten häufig Informationen zum internen Quellcode oder dem Aufbau der Datenbank. Ein Angreifer versucht gezielt Fehler hervorzurufen um an diese Informationen zu kommen. Ein Beispiel hierzu sind missglückte SQL-Abfragen durch falsche Eingaben, welche in der Fehlermeldung den Tabellennamen ausgeben. Weitere Informationsquellen sind öffentlich sichtbare Kommentare im Quelltext mit Informationen zu nicht sichtbaren Programmteilen und die in der Adressleiste mitgelieferten GET-Parameter, welche Auskunft über Variablen im Quelltext geben oder teilweise sogar ganze SQL-Statements enthalten.
All diese Informationen, die eigentlich nicht erkennbar sein sollten, können für XSS oder SQL-Injection genutzt werden.
Keine ähnlichen Artikel.
RSS
