Benutzer:Cw/Information Disclosure

Dieser Artikel oder nachfolgende Abschnitt ist nicht hinreichend mit Belegen (beispielsweise Einzelnachweisen) ausgestattet. Angaben ohne ausreichenden Beleg könnten demnächst entfernt werden. Bitte hilf Wikipedia, indem du die Angaben recherchierst und gute Belege einfügst.

Dieser Artikel ist im Entstehen und noch nicht Bestandteil der freien Enzyklopädie Wikipedia.

Solltest du über eine Suchmaschine darauf gestoßen sein, bedenke, dass der Text noch unvollständig sein und Fehler oder ungeprüfte Aussagen enthalten kann. Wenn du Fragen zum Thema hast, nimm Kontakt mit dem Autor Cw auf.

Als Information Disclosure (deutsch „Informationspreisgabe“; auch Informationsleck, englisch „information leakage“) bezeichnet man die ungewollte oder unbedachte Preisgabe von sensitiven, sicherheitskritischen Informationen durch IT-Systeme, inbesondere Webanwendungen.

Beispiele solcher Informationen sind:

• Technische Informationen zu verwendeter Software oder Infrastruktur
• Angaben zu Benutzern, deren Namen und Rollen
• Interne Geschäfts- oder Kundendaten

Ursachen

Als Hauptursachen für ein Informationsleck können im Allgemeinen angesehen werden:

• Unsichere, fehlende oder falsche Konfigurationen
• Programmfehler
• Fehler in der Software- oder Informationsarchitektur
• Fehlerhaft gesetzte oder fehlende Zugriffsrechte

Eine bekannte Informationsquelle durch eine unzureichende Konfiguration sind Fehlerseiten von einigen Webservern sowie darauf laufender Anwendungen, die, eigentlich zu Analysezwecken durch den Betreiber, relevante Informationen wie Versionsnummern und Einstellungsdetails anzeigen. In diese Kategorie fallen zudem Angaben zu verwendeten API-Keys, Usernamen und Passwörtern, Datenbank-Tabellen oder Verzeichnisstrukturen im Sourecode, auch als Kommentar eines Entwicklers.

Folgen

Während die Folgen einer Preisgabe von internen Geschäfts- oder Kundendaten augenscheinlich sind, sind andere Informationen nicht unmittelbar und alleinstehend ausnutzbar, bieten aber in Summe einem Angreifer eine ausreichende Grundlage für eine komplexes Angriffsszenario.

Vorallem die technischen Angaben können durch Angreifer genutzt werden, um gezielt nach bekannten Sicherheitslücken der eingesetzten Software zu suchen und sie auszunutzen, um unautorisierten Zugriff auf das System zu erlangen.