Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — Informationsexposition
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
If your web app available to many information, can make it can make a simple to access. In diesem Beitrag werden wir erläutern, was eine Offenlegung von Informationen ist, warum sie gefährlich ist und wie sie verhindern können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
아래 링크를 클릭하여 이 자료의 PDF를 다운로드하십시오.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 보기데모 예약하기
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
목차
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior 소프트웨어 개발 주기 전반에 걸쳐 코드를 보호하고 사이버 보안을 최우선으로 하는 문화를 조성하도록 귀사를 Secure Code Warrior . 앱 보안 관리자, 개발자, 최고정보보안책임자(CISO) 또는 보안 관련 업무를 담당하는 분이라면 누구든, 저희는 귀사가 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기다운로드
%20(1).avif)
.avif)
