Der aktuelle zweite Platz auf der OWASP Top 10 ist ‚Sensitive Data Exposure‘. Direkt übersetzt bedeutet dies ‚Preisgabe sensibler Daten‘. Damit ist dieser Punkt im Gegensatz zu Platz 1 (Injection) meistens eine Folge einer Schwachstelle und eines Angriffs.

Ausprägungen

Sensitive Data Exposure bedeutet meistens, dass Informationen nicht nur für den zugedachten Nutzerkreis sichtbar sind. Es könnte also das Profil eines Benutzers für einen anderen Benutzer sichtbar sein. Dies würde sich auf der gleichen Rechteebene bewegen.

Es können aber auch Rechteebenen überschritten werden, indem ein normaler Benutzer einer Webanwendung Daten sieht, welche nur Administratoren sehen sollten oder nur Benutzer mit speziellen Rechten, z.B. Buchhaltungsdaten oder Massendaten.

konkrete Beispiele

Eines der neuesten Beispiele bietet Buchbinder. Hier wurde im Jahr 2020 ein Backup entdeckt, welches 3 Millionen Kundendaten offenlegte. Dieses Backup lag unverschlüsselt auf einem Server, welcher ohne Login zugänglich war. Das bedeutet dieser Server muss lediglich gefunden werden. Dies funktionierte mit öffentlich zugänglichen Werkzeugen, wie ZMap oder masscan. Diese durchsuchen alle öffentlich zugänglichen IP-Adressen nach offenen Ports und Services.

Erschreckend ist, dass hier nicht mal ein Exploit angewendet werden musst. Dies bedeutet das die Offenlegung dieser Daten vermutlich nicht mal strafbar ist, da kein Hacking im Sinne des Gesetzes angewendet wurde.

Bleibt man beim Thema Bug-Bounty tritt Sensitive Data Exposure oft auf, wenn andere Benutzerkonten übernommen werden können oder eine XSS-Schwachstelle vorliegt. Die Gefahr bei XSS liegt gerade darin, dass Skriptcode im Kontext eines anderen Benutzers ausgeführt wird, d.h. hier können beliebige Daten, welche nur der Benutzer selber sehen sollte, offengelegt werden.

Was ist wichtig?

Im Gegensatz zu Injection, gibt es beim Thema Sensitive Data Exposure wenig konkrete Vorgehensweisen oder Exploits. Wichtig ist, dass man Sensitive Data Exposure immer im Hinterkopf behält, wenn man Bug-Bountys oder Pentesting betreibt. Ihr solltet also bei jeder Datenmenge, welche Ihr durch irgendeine Vorgehensweise zu Gesicht bekommt, überlegen:

  • Darf ich das mit meinen Rechten sehen?
  • Darf ich die Menge an Daten gleichzeitig sehen?
  • Kann ich an diesem Punkt an sensible Daten kommen? – z.B. XSS

2 Kommentare

OWASP Top 10 – Maxanit Consulting · Juni 15, 2020 um 12:48 pm

[…] Sensitive Data Exposure […]

Überblick Bug-Bounty-Artikel – Maxanit Consulting · August 16, 2020 um 1:03 pm

[…] Sensitive Data Exposure […]

Schreibe einen Kommentar zu OWASP Top 10 – Maxanit Consulting Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.