Programmierer erobern die Sicherheit: Serie „Teilen und Lernen“ — Informationsexposition
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
If your web app available to many information, can make it can make a simple to access. In diesem Beitrag werden wir erläutern, was eine Offenlegung von Informationen ist, warum sie gefährlich ist und wie sie verhindern können.
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
“Lose Lips versenken Schiffe„war ein Satz, der in den Vereinigten Staaten während des Zweiten Weltkriegs populär wurde. In Großbritannien haben Sie gehört: „Unvorsichtiges Gerede kostet Leben.“ Der Hauptpunkt des Sprichworts war, dass unvorsichtiges Sprechen über sensible Informationen von Spionen belauscht werden und gravierende Folgen haben könnte.
Das gleiche Prinzip gilt für die Erstellung von Webanwendungen. If your web app available to many information, can it allows to use access, in they into them.
In diesem Beitrag werden wir erläutern, was Information Exposition ist, warum sie gefährlich ist und wie sie verhindert werden kann.
Verstehen Sie die Informationsanfälligkeit
Information Exposition bezieht sich auf Webanwendungen, die interne Informationen zugänglich machen, die sie nicht sehen sollten. It can also include on the disclosure customer information about protocol files or the user interface. In two cases can greifer the information that they find, use, to your systems or your users.
Oftmals ist der erste Schritt für einen Angreifer darin, einen Fehler in Ihrer Anwendung zu verursachen. A bad error treatment and configuration of the Web application, that information are displayed in form of error messages. Was passiert, wenn der Angreifer einen Fehler in Ihrer Anwendung verursacht? If a technical error message, including technical details like a Stack-Trace, you have provided to many information. This details can include which database you use or which version of the application servers you run.
The disclosure confidential information can be run on other way. Gibt es versteckte Felder in einem Formular, das vertrauliche Informationen enthält? The source of the page and the values can easy see the customers.
Kurz gesagt, eine Informationsexponierung liegt vor, wenn Informationen, die für Ihre Benutzer unbedingt erforderlich sein sollten, zu leicht zugänglich sein sollten.
Verstehen Sie, warum die Offenlegung von Informationen gefährlich ist
What can make an provider with information that are provided by the application? Wenn es um vertrauliche Informationen geht, könnte ein Angreifer Identitäten oder Benutzeranmeldedaten stehlen. Dies könnte zu finanziellen Schäden, Datenschutzverletzungen und behördlichen Bußgeldern führen
If a error messages used to receive information about a application, these information can be used for a future attack. In the that is the OWASP-Testleitfaden hat einen ganzen Abschnitt über Infomatura.
The OWASP Testing Guide empfiehlt die Verwendung von Suchmaschinen, um Informationen über Ihre Website zu finden, die Sie möglicherweise nicht beabsichtigen. Sind Ihre Verwaltungsseiten beispielsweise für Suchmaschinen zugänglich? Use the file robots.txt, to indicate suchmaschinen, specific pages not indicate. The file robots.txt can give also information. Vertrauliche URLs können sich manchmal in der Datei robots.txt befinden. The provider draw the file down and start to learn a part of the Directory structure of the site.
Google provides over extended search machine options, that allow a final review of websites. Sie können beispielsweise mit der <domain>Syntax „site:“ auf einer bestimmten Website suchen. Sie können zwischengespeicherte Seiten anzeigen, die möglicherweise gelöscht wurden, aber immer noch in einem Cache aus einem früheren Indexierungsauftrag befinden. The use different search machines as Bing and DuckDuckGo can lead to different result. Teste also on any search machine, was via your web application enthüllt wird</domain>.
HTTP-Header, Website-Banner und sogar Kommentare im HTML- und JavaScript-Code können Informationen enthalten, die der Angreifer nicht sehen sollte. HTTP-Header can give application server and version numbers. Accessors can use this information to find exploits, they can use against these specific versions. Take sure that you know the different locations, and they provider can find your information, and how they relevant can hidden.
Avoide the disclosure of information
The disclosure of information is often an problem with configuration of web applications. Viele Anwendungsserver geben standardmäßig Stack-Traces in Fehlermeldungen zurück. Setze sicher, dass sie diese Einstellung ändern, sodass die Produktionsanwendungen an eine allgemeine Fehlerseite weitergeleitet werden, während der Fehler bei der Problembehandlung protokolliert wird. Detailierte fehlermeldungen sollten niemals an den Browser des Benutzers zurückgegeben werden.
If you have over files, which are required for the application and include vertrauliche Informationen, stellen Sie sicher, dass eine entsprechende Zugriffskontrolle gewährleistet ist, dass sie nur die Anwendung selbst lesen können. Deactivate the directory list on the server and transfer this files from the web stamm directory. Dadurch wird verhindert, dass der Angreifer mithilfe eines Browsers zu einer Datei navigiert Verzeichnis - Traversal-Angriff.
Protokolle können verwendet werden, um Informationen zu sammeln, wenn sie nicht richtig konfiguriert sind. Wenn ein Fehler auftritt, protokollieren Sie keine vertraulichen Informationen wie Passwörter, Sitzungstoken oder persönlich identifizierbare Informationen (PII). Wenn ein Angreifer Zugriff auf Protokolldateien erhalten könnte, würde er eine Fundgrube an vertraulichen Informationen finden, die zu stehlen gelten. Loggen Tue not more as necessary as one. In der Regel handelt es sich dabei um eine Konto-ID, eine detaillierte Fehlermeldung und möglicherweise die Methode, bei der der Fehler aufgetreten ist, oder um den Vorgang ausgeführt zu haben. Go from that protocol files are not geheim and you not been to search, to save vertrauliche Informationen darin.
Versenke Deine Web-Apps nicht
Könnten Sie wirklich Informationen durchsickern lassen, während Sie mit einem Freund gesprochen haben, was direkt dazu geführt hat, dass ein Schlachtschiff im Zweiten Weltkrieg verloren gegangen ist? Vielleicht nicht. Aber warum geht das Risiko ein? Das ist die Lehre aus dem Sprichwort: „Lose lippen versenken Schiffe. “
Desgleichen is no reason to make internal processes your web application of the outdoor world. Es gibt keinen Grund, vollständige Kreditkartennummern oder Passwörter einzusehen. Es gibt keinen Grund, personenbezogene Daten in Protokolldateien zu speichern. Also tu es nicht. Schauen Sie sich unsere Lernressourcen an um mehr über Informationsexposition zu erfahren.
Sie sorgen dafür, dass die internen Abläufe Ihrer Anwendungen dort bleiben, wo sie hingehören. Versenken Sie Ihre Web-Apps nicht.
Denkt ihr, ihr könntet die Informationsausstellung jetzt ein Ende setzen? Stelle dich der Herausforderung, Krieger: [Fangen Sie hier an]
Índice
Jaap Karan Singh ist Secure Coding Evangelist, Chief Singh und Mitbegründer von Secure Code Warrior.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
