Benutzer:Cw/Information Disclosure
Als Information Disclosure (deutsch „Informationspreisgabe“; auch Informationsleck, englisch „information leakage“) bezeichnet man die ungewollte oder unbedachte Preisgabe von sensitiven, sicherheitskritischen Informationen durch IT-Systeme, inbesondere Webanwendungen.
Beispiele solcher Informationen sind:
- Technische Informationen zu verwendeter Software oder Infrastruktur
- Angaben zu Benutzern, deren Namen und Rollen
- Interne Geschäfts- oder Kundendaten
Ursachen
[Bearbeiten | Quelltext bearbeiten]Als Hauptursachen für ein Informationsleck können im Allgemeinen angesehen werden:
- Unsichere, fehlende oder falsche Konfigurationen
- Programmfehler
- Fehler in der Software- oder Informationsarchitektur
- Fehlerhaft gesetzte oder fehlende Zugriffsrechte
Eine bekannte Informationsquelle durch eine unzureichende Konfiguration sind Fehlerseiten von einigen Webservern sowie darauf laufender Anwendungen, die, eigentlich zu Analysezwecken durch den Betreiber, relevante Informationen wie Versionsnummern und Einstellungsdetails anzeigen. In diese Kategorie fallen zudem Angaben zu verwendeten API-Keys, Usernamen und Passwörtern, Datenbank-Tabellen oder Verzeichnisstrukturen im Sourecode, auch als Kommentar eines Entwicklers.
Folgen
[Bearbeiten | Quelltext bearbeiten]Während die Folgen einer Preisgabe von internen Geschäfts- oder Kundendaten augenscheinlich sind, sind andere Informationen nicht unmittelbar und alleinstehend ausnutzbar, bieten aber in Summe einem Angreifer eine ausreichende Grundlage für eine komplexes Angriffsszenario.
Vorallem die technischen Angaben können durch Angreifer genutzt werden, um gezielt nach bekannten Sicherheitslücken der eingesetzten Software zu suchen und sie auszunutzen, um unautorisierten Zugriff auf das System zu erlangen.