6. Informationslecks und 'indiskrete' Fehlerbehandlung durch die Web-Anwendung

Das Problem: Von Applikationen erzeugte Fehlermeldungen, die sensible Daten oder Informationen etwa über ihre Konfiguration preisgeben, sind für Hacker ein gefundenes Fressen. Laut Owasp-Report liefern viele Anwendungen mit detaillierten Error- beziehungsweise Debug-Meldungen unbeabsichtigt aufschlussreiche Anhaltspunkte zu ihren Interna - etwa über die zur Verarbeitung bestimmter Operationen benötigte Zeit oder ihre Reaktionen auf verschiedenen Input. Übeltäter können diese Informationen dazu missbrauchen, schwerwiegende Angriffe zu lancieren oder sogar zu automatisieren.

Beispiel: Nicht nur das unsachgemäße Fehler-Handling kann zum unerwünschten Abfluss von Daten führen. Data Leakage tritt auch auf, wenn vertrauliche Informationen ungeschützt und damit einsehbar sind. So geschehen beispielsweise Anfang 2005, als die Datensätze von 163.000 ChoicePoint-Kunden kompromittiert wurden. Dazu hatten sich Kriminelle als legitime Kunden des amerikanischen Schufa-Pendants ausgegeben und dessen Kundendatenbank nach Details zu den dort gelisteten Personen durchforstet.

Basis-Schutz: Die Experten empfehlen den Einsatz eines Test-Tools wie dem Owasp-eigenen "WebScarab Project", um zu eruieren, welche Fehlermeldungen die Applikation erzeugt. Zudem sollte das detaillierte Error-Handling deaktiviert oder zumindest eingeschränkt werden und Debug-Informationen für Nutzer nicht sichtbar sein.