CWE ID: 206
Name: Observable Internal Behavioral Discrepancy
Das Produkt führt mehrere Verhaltensweisen aus, die kombiniert ein einzelnes Ergebnis erzeugen, wobei die einzelnen Verhaltensweisen jedoch separat beobachtbar sind und es Angreifern ermöglichen, den internen Zustand oder interne Entscheidungsfindung zu offenlegen.
Idealerweise sollte ein Produkt einem Angreifer so wenig Informationen wie möglich liefern. Jegliche Hinweise darauf, dass der Angreifer Fortschritte macht, können dann genutzt werden, um den Angriff zu vereinfachen oder zu optimieren. Beispielsweise gibt es in einer Login-Prozedur, die einen Benutzernamen und ein Passwort erfordert, letztendlich nur eine Entscheidung: Erfolg oder Misserfolg. Intern werden jedoch zwei separate Aktionen ausgeführt: die Überprüfung der Existenz des Benutzernamens und die Validierung des Passworts. Wenn das Produkt sich unterschiedlich verhält, je nachdem, ob der Benutzername existiert oder nicht, muss der Angreifer sich nur auf das Passwort konzentrieren.
Effektivität: Unknown
Beschreibung: Implementieren Sie generische Antwortseiten für Fehlerbedingungen. Die Fehlerseite sollte keine Informationen darüber preisgeben, ob eine sensible Operation erfolgreich war oder fehlgeschlagen ist. Beispielsweise sollte die Login-Seite nicht bestätigen, dass die Anmeldung korrekt ist und das Passwort falsch. Ein Angreifer, der zufällige Accountnamen ausprobiert, könnte einige davon erraten. Die Bestätigung der Existenz eines Accounts würde die Login-Seite anfälliger für einen Brute-Force-Angriff machen.
