Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — Informationsexposition
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
If your web app available to many information, can make it can make a simple to access. In diesem Beitrag werden wir erläutern, was eine Offenlegung von Informationen ist, warum sie gefährlich ist und wie sie verhindern können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Veuillez cliquer sur le lien ci-dessous et télécharger le PDF de cette ressource.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Consulter le rapportRéserver une démonstration
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Table des matières
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior là pour aider votre entreprise à sécuriser le code tout au long du cycle de développement logiciel et à créer une culture où la cybersécurité est une priorité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre entreprise à réduire les risques liés à un code non sécurisé.
Réserver une démonstrationTéléchargerRessources pour débuter
Thèmes et contenus de la formation Securecode
Nos contenus de pointe sont constamment développés afin de s'adapter à l'évolution constante du paysage du développement logiciel, en tenant compte de votre rôle. Les thèmes abordés couvrent tous les domaines, de l'IA à l'injection XQuery, et sont proposés pour une multitude de rôles, des architectes et ingénieurs aux chefs de produit et responsables assurance qualité. Nous vous invitons à découvrir un aperçu de notre catalogue de contenus classés par thème et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : les missions KI « Beat the Boss » sont désormais disponibles sur demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année dans SCW. Il utilise des exigences de sécurité IA/LLM avancées pour renforcer le développement sécurisé de l'IA à grande échelle.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la cyber-résilience (CRA), à qui elle s'applique et comment les équipes de développement peuvent s'y préparer en adoptant des méthodes sécurisées, en prévenant les failles de sécurité et en renforçant les compétences des développeurs.
Facteur 1 : Critères de réussite définis et mesurables
Le catalyseur n° 1 inaugure notre série en dix parties intitulée « Les catalyseurs de la réussite » et démontre comment un codage sécurisé peut être associé à des résultats commerciaux tels que la réduction des risques et la rapidité afin d'atteindre une maturité programmatique à long terme.
