• CWE-12: ASP.NET Misconfiguration: Missing Custom Error Page

Eine ASP.NET-Anwendung muss benutzerdefinierte Fehlerseiten aktivieren, um zu verhindern, dass Angreifer Informationen aus den eingebauten Antworten des Frameworks extrahieren.

CWE-12: ASP.NET Misconfiguration: Missing Custom Error Page

CWE ID: 12
Name: ASP.NET Misconfiguration: Missing Custom Error Page

Beschreibung

Eine ASP.NET-Anwendung muss benutzerdefinierte Fehlerseiten aktivieren, um zu verhindern, dass Angreifer Informationen aus den eingebauten Antworten des Frameworks extrahieren.

Risikominderungsmaßnahmen

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Behandeln Sie Exceptions angemessen im Quellcode. ASP.NET-Anwendungen sollten so konfiguriert sein, dass sie benutzerdefinierte Fehlerseiten anstelle der Standardseite des Frameworks verwenden.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Versuchen Sie nicht, einen Fehler zu verarbeiten oder zu maskieren.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Überprüfen Sie die Rückgabewerte auf Korrektheit und geben Sie keine sensiblen Informationen über das System preis.

Detaillierter Hintergrund

Das Attribut “mode” des <customErrors>-Tags definiert, ob benutzerdefinierte oder Standard-Fehlerseiten verwendet werden.