Information Disclosure

Stand: 15.04.2011

Der Begriff Information Disclosure bezeichnet die Preisgabe interner Informationen, deren Kenntnis sich nicht automatisch bei der Benutzung der Applikation ergibt oder dafür Voraussetzung ist. Zu dieser Gruppe von Informationen gehören z.B.

• Versionssnummern der auf dem Server eingesetzten Software (Webserver, Scripting-Engine, Datenbank),
• Konfiguration der auf dem Server eingesetzten Software,
• Name, Versionsnummer und Konfiguration der für Entwicklung und Pflege verwendeten Software,
• Namen von Programmierern und anderen Mitarbeitern,
• Namen von Benutzerkonten,
• Details über Aufbau, Funktionsweise und Probleme der Applikation,
• Position und Name von Dateien, Servern und anderen Ressourcen, die intern von der Applikation verwendet werden, aber dem Benutzer nicht direkt zugänglich sein sollten wie z.B. Datenbanken, temporäre Dateien und Logdateien der Applikation,
• Quellcode.

Andere Informationen lassen sich vor den Benutzern nicht verstecken, z.B. die Namen und Aufgaben der öffentlich zugänglichen Skripte.

Je mehr Informationen über ein System ein Angreifer besitzt, desto eher findet er Ausgangspunkte für einen Angriff oder Hinweise auf weitere lohnenswerte Ziele. Um die Wahrscheinlichkeit eines erfolgreichen Angriffs möglichst gering zu halten, sollte eine Web-Applikation so wenig Informationen wie möglich über ihr "Innenleben" preisgeben.

Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung (nähere Informationen finden Sie hier ).