• CWE-615: Inclusion of Sensitive Information in Source Code Comments

Während allgemeine Kommentare sehr nützlich sind, neigen einige Programmierer dazu, wichtige Daten zurückzulassen, wie beispielsweise Dateinamen im Zusammenhang mit der Webanwendung, veraltete Links oder Links, die nicht für die Benutzeransicht bestimmt waren, alte Code-Fragmente usw.

CWE-615: Inclusion of Sensitive Information in Source Code Comments

CWE ID: 615
Name: Inclusion of Sensitive Information in Source Code Comments

Beschreibung

Während allgemeine Kommentare sehr nützlich sind, neigen einige Programmierer dazu, wichtige Daten zurückzulassen, wie beispielsweise Dateinamen im Zusammenhang mit der Webanwendung, veraltete Links oder Links, die nicht für die Benutzeransicht bestimmt waren, alte Code-Fragmente usw.

Erweiterte Beschreibung

Ein Angreifer, der auf diese Kommentare stößt, kann die Struktur und Dateien der Anwendung kartieren, versteckte Teile der Website aufdecken und die Code-Fragmente analysieren, um das Reverse Engineering der Anwendung vorzunehmen. Dies kann ihm dabei helfen, weitere Angriffe gegen die Website zu entwickeln.

Risikominderungsmaßnahmen

Maßnahme (Distribution)

Effektivität: Unknown
Beschreibung: Entfernen Sie Kommentare, die sensible Informationen über das Design/die Implementierung der Anwendung enthalten. Einige dieser Kommentare könnten für den Benutzer sichtbar sein und die Sicherheitslage der Anwendung beeinträchtigen.