• CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere

“Das Produkt verhindert nicht ausreichend, dass unautorisierte Akteure Zugriff auf sensible, systemnahe Informationen erhalten. Diese Akteure verfügen nicht über das gleiche Zugriffslevel auf das zugrundeliegende System, wie das Produkt selbst.”

CWE-497: Exposure of Sensitive System Information to an Unauthorized Control Sphere

CWE ID: 497
Name: Exposure of Sensitive System Information to an Unauthorized Control Sphere

Beschreibung

“Das Produkt verhindert nicht ausreichend, dass unautorisierte Akteure Zugriff auf sensible, systemnahe Informationen erhalten. Diese Akteure verfügen nicht über das gleiche Zugriffslevel auf das zugrundeliegende System, wie das Produkt selbst.”

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: “Produktionsanwendungen sollten niemals Methoden verwenden, die interne Details wie Stack Traces und Fehlermeldungen generieren, es sei denn, diese Informationen werden direkt in ein Logfile geschrieben, das für den Endbenutzer nicht einsehbar ist. Sämtlicher Fehlermeldungstext sollte vor dem Schreiben in die Logdatei durch HTML-Entity-Encoding geschützt werden, um potenzielle Cross-Site Scripting-Angriffe gegen den Log-Viewer abzuwehren.”