• CWE-209: Generation of Error Message Containing Sensitive Information

Das Produkt generiert eine Fehlermeldung, die sensible Informationen über seine Umgebung, Benutzer oder zugehörige Daten enthält.

CWE-209: Generation of Error Message Containing Sensitive Information

CWE ID: 209
Name: Generation of Error Message Containing Sensitive Information

Beschreibung

Das Produkt generiert eine Fehlermeldung, die sensible Informationen über seine Umgebung, Benutzer oder zugehörige Daten enthält.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Exceptions sind intern zu behandeln und Fehler, die potenziell sensible Informationen enthalten, dürfen nicht dem User angezeigt werden.

Maßnahme (Implementation)

Effektivität: Defense in Depth
Beschreibung: Nutzen Sie Namenskonventionen und starke Datentypen, um das Erkennen der Verwendung sensibler Daten zu erleichtern. Bei der Erstellung von Strukturen, Objects oder anderen komplexen Entities sollten Sie sensible und nicht-sensible Daten so weit wie möglich trennen. Notizen: Dies erleichtert die Identifizierung von Stellen im Code, an denen Daten ohne Encryption verwendet werden.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Debugging-Informationen sollten nicht in eine Produktionsfreigabe gelangen.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Debugging-Informationen sollten in einer Produktionsfreigabe keinen Einzug halten. Es ist entscheidend, dass solche Daten, die für die Fehlerbehebung während der Entwicklung dienen, aus dem finalen Build entfernt werden, um die Sicherheit und Performance des Systems zu gewährleisten. Das Vorhandensein von Debugging-Informationen kann potenzielle Angreifer bei der Analyse des Systems und der Identifizierung von Schwachstellen unterstützen.

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Soweit möglich, sollte die Umgebung so konfiguriert werden, dass weniger ausführliche Fehlermeldungen angezeigt werden. Beispielsweise kann in PHP die Einstellung display_errors während der Konfiguration deaktiviert oder zur Laufzeit mithilfe der Funktion error_reporting() angepasst werden. Dies reduziert die Menge an Informationen, die potenziellen Angreifern zugänglich gemacht werden.

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Erstellen Sie Standard-Fehlerseiten oder -meldungen, die keine Informationen preisgeben. Diese sollten generische Hinweise auf einen technischen Fehler enthalten und keine Details über die zugrundeliegende Ursache oder die verwendete Technologie offenlegen, um das Risiko von Informationslecks zu minimieren.