Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — Informationsexposition
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
If your web app available to many information, can make it can make a simple to access. In diesem Beitrag werden wir erläutern, was eine Offenlegung von Informationen ist, warum sie gefährlich ist und wie sie verhindern können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchen
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Klicken Sie auf den Link unten und laden Sie das PDF dieser Ressource herunter.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Bericht ansehenEine Demo buchen
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Inhaltsverzeichniss
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior ist für Ihr Unternehmen da, um Ihnen zu helfen, Code während des gesamten Softwareentwicklungszyklus zu sichern und eine Kultur zu schaffen, in der Cybersicherheit an erster Stelle steht. Ganz gleich, ob Sie AppSec-Manager, Entwickler, CISO oder jemand anderes sind, der sich mit Sicherheit befasst, wir können Ihrem Unternehmen helfen, die mit unsicherem Code verbundenen Risiken zu reduzieren.
Eine Demo buchenHerunterladenRessourcen für den Einstieg
Themen und Inhalte der Securecode-Schulung
Unsere branchenführenden Inhalte werden ständig weiterentwickelt, um der sich ständig ändernden Softwareentwicklungslandschaft unter Berücksichtigung Ihrer Rolle gerecht zu werden. Themen, die alles von KI bis XQuery Injection abdecken und für eine Vielzahl von Rollen angeboten werden, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA. Verschaffen Sie sich einen kleinen Einblick in das Angebot unseres Inhaltskatalogs nach Themen und Rollen.
%20(1).avif)
.avif)
Threat Modeling with AI: Turning Every Developer into a Threat Modeler
Walk away better equipped to help developers combine threat modeling ideas and techniques with the AI tools they're already using to strengthen security, improve collaboration, and build more resilient software from the start.
Ressourcen für den Einstieg
Cybermon is back: Beat the Boss KI-Missionen jetzt auf Abruf verfügbar
Cybermon 2025 Beat the Boss ist jetzt das ganze Jahr über in SCW verfügbar. Setzt fortschrittliche KI/LLM-Sicherheitsanforderungen ein, um die sichere KI-Entwicklung in einem großen Maßstab zu stärken.
Cyber-Resilienz-Gesetz erklärt: Was das für die Entwicklung von Secure by Design-Software bedeutet
Erfahren Sie, was der EU Cyber Resilience Act (CRA) verlangt, für wen er gilt und wie sich Entwicklungsteams mit sicheren Methoden, der Vorbeugung von Sicherheitslücken und dem Aufbau von Fähigkeiten für Entwickler darauf vorbereiten können.
