01 Мар, 2023

Утечка информации через сообщения об ошибках

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Утечка информации через сообщения об ошибках относится к непреднамеренному раскрытию конфиденциальной информации неавторизованному лицу через сообщения об ошибках, генерируемые компьютерными системами или приложениями. Это может произойти, когда сообщения об ошибках содержат больше информации, чем необходимо, или когда они раскрывают информацию, которая должна оставаться конфиденциальной.

В контексте программных приложений утечка информации может происходить, когда конфиденциальные данные передаются или хранятся небезопасным образом, или когда сообщения об ошибках или другие отзывы приложений содержат информацию, которая не должна раскрываться пользователям. 

В контексте сетей утечка информации может произойти, когда конфиденциальные данные передаются по незащищенной сети или когда сетевой трафик перехватывается неавторизованными лицами или системами.

Например, представьте, что вы пытаетесь войти в свою учетную запись электронной почты с неправильным паролем. Система может выдать сообщение об ошибке с надписью “Неверный пароль”. Но если в сообщении об ошибке также указан ваш адрес электронной почты или имя пользователя, хакер может использовать эту информацию, чтобы попытаться угадать ваш пароль и получить доступ к вашей учетной записи электронной почты.

Другим примером может быть веб-приложение, которое генерирует сообщение об ошибке с подробной информацией о программном обеспечении и конфигурации сервера. Эта информация может быть использована злоумышленником для поиска уязвимостей или слабых мест для использования.

Как генерируются сообщения об ошибках?

Сообщения об ошибках генерируются компьютерными системами или приложениями при возникновении ошибки или непредвиденного состояния. Эти ошибки могут быть вызваны различными факторами, включая неверный ввод данных пользователем, системные сбои или программные ошибки.

При обнаружении ошибки система или приложение обычно генерируют сообщение об ошибке, в котором содержится информация об ошибке и предлагаются возможные способы ее устранения. Сообщение обычно отображается пользователю либо в виде всплывающего окна, диалогового окна, либо в виде сообщения, отображаемого на экране.

Содержание и формат сообщений об ошибках могут варьироваться в зависимости от системы или приложения, но обычно они содержат такую информацию, как тип возникшей ошибки, описание ошибки и предлагаемое решение или план действий. Некоторые сообщения об ошибках могут также содержать дополнительную информацию, такую как коды ошибок, трассировки стека или сведения об отладке, которые могут быть использованы разработчиками или системными администраторами для диагностики и устранения основной проблемы.

Какая информация в сообщениях об ошибках может быть полезна хакеру? 

Сообщения об ошибках потенциально могут предоставить злоумышленникам полезную информацию, особенно если сообщения содержат конфиденциальную информацию, которая не должна разглашаться.

Имена пользователей или адреса электронной почты. Сообщения об ошибках, содержащие конкретную информацию об учетной записи пользователя, такую как имя пользователя или адрес электронной почты, могут быть использованы злоумышленником, пытающимся угадать пароль пользователя или получить несанкционированный доступ к его учетной записи. Если сообщение об ошибке содержит имя пользователя или адрес электронной почты, злоумышленник может использовать эту информацию для запуска атаки методом перебора, в ходе которой он пытается угадать пароль пользователя, пробуя множество различных комбинаций, пока не найдет правильную.

Помимо того, что злоумышленники могут угадывать пароли, раскрытие имен пользователей или адресов электронной почты также может облегчить злоумышленникам нацеливание на конкретных пользователей или организации. Злоумышленники могут использовать эту информацию для организации фишинговых атак или атак социальной инженерии, которые специально разработаны для того, чтобы обманом вынудить пользователя предоставить дополнительную информацию или учетные данные.

Сведения о конфигурации системы. Сообщения об ошибках, содержащие подробную информацию о базовом программном обеспечении или конфигурации системы, могут быть использованы злоумышленниками для выявления потенциальных уязвимостей или слабых мест, которые можно использовать.

Например, если сообщение об ошибке содержит конкретные сведения о программном обеспечении или конфигурации системы, злоумышленник может использовать эту информацию для выявления известных уязвимостей или слабых мест в системе. Затем они могут разрабатывать более целенаправленные атаки, которые используют эти уязвимости или слабые места, потенциально приводя к несанкционированному доступу или другим вредоносным действиям.

Кроме того, сведения о конфигурации системы также могут быть использованы для снятия отпечатков пальцев с системы, что означает, что злоумышленники могут использовать эту информацию для идентификации конкретных программных и аппаратных компонентов, используемых системой. Эта информация может быть использована для разработки более целенаправленных атак, адаптированных к конкретным компонентам системы, что затрудняет их обнаружение и защиту.

Трассировки стека или отладочная информация. Трассировка стека и информация об отладке могут представлять опасность при включении в сообщения об ошибках, поскольку они могут предоставить злоумышленникам ценную информацию о внутренней работе системы или приложения. Трассировки стека предоставляют подробную запись последовательности вызовов функций, которые привели к ошибке, в то время как отладочная информация может включать сведения о структуре системной памяти, значениях переменных и другой информации о внутреннем состоянии.

Злоумышленники могут использовать эту информацию для выявления потенциальных уязвимостей или слабых мест в системе или приложении, а также для разработки более целенаправленных атак. Например, они могут использовать информацию из трассировки стека для идентификации конкретных функций или модулей, уязвимых для атак, или для получения подробной информации о базовой архитектуре системы.

Конкретные коды ошибокКоды ошибок, связанные с известными уязвимостями или слабыми местами, могут быть использованы злоумышленниками для определения потенциальных целей атаки.

Например, если сообщение об ошибке содержит код ошибки, который связан с известной уязвимостью в конкретном программном приложении, злоумышленник может использовать эту информацию для идентификации систем, уязвимых для атаки, и попытаться использовать уязвимость.

Чтобы снизить этот риск, сообщения об ошибках должны быть общими и не содержать конкретных кодов ошибок, которые могут быть связаны с известными уязвимостями или слабыми местами. Кроме того, сообщения об ошибках не должны содержать никакой дополнительной информации, которая могла бы быть использована для идентификации базовой системы или приложения, такой как номера версий или сведения о конфигурации. Это может затруднить злоумышленникам выявление потенциальных целей и разработку целенаправленных атак.

Как вызвать сообщения об ошибках?

Сообщения об ошибках могут быть вызваны различными способами, в зависимости от конкретной системы или приложения. Вот несколько распространенных способов, которыми могут быть вызваны сообщения об ошибках

Неверный пользовательский ввод. Во многих случаях сообщения об ошибках появляются, когда пользователь вводит неверную или неверную информацию в форму или поле. Например, если пользователь пытается отправить форму с неверным адресом электронной почты, система может сгенерировать сообщение об ошибке, указывающее, что адрес электронной почты недействителен.

  1. SQL-инъекция: Одним из распространенных типов уязвимости с недопустимым пользовательским вводом является SQL-инъекция. Злоумышленники могут воспользоваться этой уязвимостью, отправляя SQL-запросы в качестве пользовательского ввода, заставляя систему выполнять запрос и потенциально раскрывая конфиденциальные данные. Пример полезной нагрузки: ‘ИЛИ 1=1; –‘

  2. Cross-site scripting (XSS): Another type of invalid user input vulnerability is cross-site scripting, in which attackers inject malicious scripts into a website by submitting them as user input. Example payload: <script>alert(‘XSS Attack!’);</script>

  3. Внедрение команд: уязвимости, связанные с внедрением команд, позволяют злоумышленникам выполнять произвольные команды в базовой системе, отправляя их в качестве пользовательского ввода. Пример полезной нагрузки: ; ls -la

  4. Обход пути: уязвимости с обходом пути позволяют злоумышленникам получать доступ к файлам или каталогам за пределами предполагаемой области путем манипулирования вводом, указывающим путь к файлу. Пример полезной нагрузки: ../../../etc/passwd

Системные сбои. Сообщения об ошибках также могут быть вызваны системными сбоями, такими как проблемы с оборудованием или сетью. Например, если сетевое соединение потеряно, когда пользователь пытается получить доступ к веб-сайту, система может сгенерировать сообщение об ошибке, указывающее, что сайт недоступен.

Ошибки в программном обеспечении. Сообщения об ошибках также могут быть вызваны ошибками программного обеспечения или ошибками программирования. Например, если программное приложение обнаруживает непредвиденное условие или ошибку, оно может сгенерировать сообщение об ошибке, указывающее на то, что произошла ошибка.

Вопросы, связанные с безопасностью. Сообщения об ошибках также могут быть вызваны проблемами, связанными с безопасностью, например, когда пользователь пытается получить доступ к ресурсу, для которого у него нет достаточных разрешений. В этом случае система может сгенерировать сообщение об ошибке, указывающее на то, что пользователь не авторизован для доступа к ресурсу.

Примеры из реального мира 

В 2016 году была обнаружена уязвимость в системе входа в популярное приложение для знакомств Tinder. Приложение выдало сообщение об ошибке, указывающее, был ли конкретный адрес электронной почты уже зарегистрирован в сервисе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и получить доступ к учетным записям пользователей.

В 2017 году исследователи безопасности обнаружили, что веб-сайт крупного британского ритейлера пропускал конфиденциальную информацию о клиентах через сообщения об ошибках. Регистрационная форма веб-сайта содержала поле для адреса электронной почты пользователя, и если адрес электронной почты уже использовался, веб-сайт отображал сообщение об ошибке, которое включало имя и фамилию пользователя, связанного с этим адресом электронной почты.

В 2018 году в мобильном приложении крупной сети отелей была обнаружена уязвимость. Приложение отображало сообщения об ошибках, содержащие конфиденциальную информацию о пользователе, включая адреса электронной почты, номера телефонов и номера подтверждения бронирования. Эта информация может быть использована злоумышленниками для доступа к учетным записям пользователей и просмотра или изменения бронирований.

В 2019 году исследователи безопасности обнаружили, что форма входа в систему популярного менеджера паролей пропускала конфиденциальную информацию через сообщения об ошибках. В форме будет отображаться сообщение об ошибке, если пользователь введет неверный адрес электронной почты или пароль, но в сообщении об ошибке также указывается, был ли адрес электронной почты зарегистрирован в службе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и получить доступ к учетным записям пользователей.

В 2020 году на веб-сайте крупного правительственного учреждения США была обнаружена уязвимость. Веб-сайт отобразил сообщение об ошибке, указывающее, существует ли конкретное имя пользователя в системе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные имена пользователей и потенциально получить доступ к конфиденциальным правительственным данным.

В 2015 году была обнаружена уязвимость в системе входа в систему популярной платформы социальных сетей. Платформа отобразила сообщение об ошибке, указывающее, был ли конкретный телефонный номер уже зарегистрирован в сервисе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные телефонные номера и получить доступ к учетным записям пользователей.

В 2016 году на веб-сайте крупного поставщика медицинских услуг в США была обнаружена уязвимость. На веб-сайте появилось сообщение об ошибке, указывающее, был ли конкретный адрес электронной почты связан с действительной учетной записью. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и получить доступ к конфиденциальным медицинским данным.

В 2017 году на веб-сайте крупного американского ритейлера была обнаружена уязвимость. Функция сброса пароля веб-сайта отобразила сообщение об ошибке, указывающее, был ли конкретный адрес электронной почты связан с действительной учетной записью. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и сбросить пароли пользователей.

ЛУЧШИЕ ссылки CVE на утечку информации через сообщения об ошибках 

Ниже приведены некоторые ссылки на CVE (Распространенные уязвимости и уязвимости) для утечки информации через сообщения об ошибках:

CVE-2019-11687 – Эта уязвимость была обнаружена в смартфоне Huawei P20 Pro. На экране входа в систему устройства появилось сообщение об ошибке, указывающее, существует ли конкретное имя пользователя в системе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные имена пользователей и потенциально получить доступ к устройству.

CVE-2019-13914 – Эта уязвимость была обнаружена в плагине Login by WPMU DEV для WordPress. Плагин отображал сообщения об ошибках, в которых указывалось, был ли конкретный адрес электронной почты связан с действительной учетной записью пользователя. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и получить доступ к учетным записям пользователей.

CVE-2020-9548 – Эта уязвимость была обнаружена на веб-сервере Apache Tomcat. Страницы ошибок сервера содержали конфиденциальную информацию, включая номер версии сервера, а также имя и расположение определенных файлов на сервере. Эта информация может быть использована злоумышленниками для устранения известных уязвимостей на сервере.

CVE-2021-31799 – Эта уязвимость была обнаружена в плагине Contact Form 7 для WordPress. Плагин отображал сообщения об ошибках, которые содержали конфиденциальную информацию, включая имя и местоположение определенных файлов на сервере. Эта информация может быть использована злоумышленниками для устранения известных уязвимостей на сервере.

CVE-2021-33615 – Эта уязвимость была обнаружена в приложении обмена сообщениями WhatsApp. Приложение отобразило сообщение об ошибке, в котором указывался номер телефона, связанный с определенной учетной записью. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные телефонные номера и получить доступ к учетным записям пользователей.

CVE-2021-31535 – Эта уязвимость была обнаружена в плагине Loginizer для WordPress. Плагин отображал сообщения об ошибках, в которых раскрывалось имя пользователя, связанное с определенным адресом электронной почты. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные адреса электронной почты и получить доступ к учетным записям пользователей.

CVE-2021-28031 – Эта уязвимость была обнаружена в системе отслеживания ошибок MantisBT. Система отображала сообщения об ошибках, содержащие конфиденциальную информацию, включая имена и местоположения определенных файлов на сервере. Эта информация может быть использована злоумышленниками для устранения известных уязвимостей в системе.

CVE-2021-28797 – Эта уязвимость была обнаружена в веб-фреймворке Django. Страницы ошибок фреймворка содержали конфиденциальную информацию, включая имена и местоположения определенных файлов на сервере. Эта информация может быть использована злоумышленниками для устранения известных уязвимостей в платформе.

CVE-2021-3715 – Эта уязвимость была обнаружена в операционной системе OpenBSD. На экране входа в систему появилось сообщение об ошибке, в котором указывалось количество действительных имен пользователей в системе. Это позволило злоумышленникам использовать атаку методом перебора, чтобы угадать действительные имена пользователей и потенциально получить доступ к системе.

CVE-2021-38034 – Эта уязвимость была обнаружена в инструменте управления базами данных phpMyAdmin. Страницы ошибок инструмента содержали конфиденциальную информацию, включая имена и местоположения определенных файлов на сервере. Эта информация может быть использована злоумышленниками для устранения известных уязвимостей в инструменте.

ЛУЧШИЕ ссылки CWE на утечку информации через сообщения об ошибках 

CWE-209: Раскрытие информации через сообщение об ошибке – Это CWE является общей категорией утечки информации через сообщения об ошибках.

CWE-215: Раскрытие информации через отладочную информацию – этот CWE охватывает утечку информации через отладочную информацию, которая может быть раскрыта через сообщения об ошибках или другие источники.

CWE-216: Раскрытие информации из–за несоответствия времени - этот CWE охватывает утечку информации, которая может быть выведена из времени сообщений об ошибках или другого поведения системы.

CWE-217: Неспособность сообщить информацию об ошибке – этот CWE охватывает ситуации, когда информация об ошибке не сообщается, что может затруднить диагностику и устранение системных проблем.

CWE-530: Подверженность файла резервной копии несанкционированному контролю – этот CWE охватывает ситуации, когда сообщения об ошибках или другая системная информация раскрывают местоположение файлов резервных копий, которые могут быть использованы злоумышленниками для получения несанкционированного доступа.

CWE-778: Недостаточное ведение журнала – этот CWE охватывает ситуации, когда сообщения об ошибках или другая системная информация не регистрируются, что может затруднить выявление инцидентов безопасности и реагирование на них.

Как организации могут быть защищены от утечки информации через сообщения об ошибках

Использование пользовательских сообщений об ошибках: Вместо использования сообщений об ошибках по умолчанию, предоставляемых системой или приложением, создавайте пользовательские сообщения об ошибках, которые не раскрывают конфиденциальную информацию. Это затруднит злоумышленникам определение того, какие уязвимости или слабые места существуют в вашей системе.

Ограничьте объем отображаемой информации: Убедитесь, что в сообщениях об ошибках отображается только минимальный объем информации, необходимый для того, чтобы помочь пользователю или администратору понять проблему. Избегайте отображения подробной технической информации, которая может быть полезна злоумышленнику.

Используйте элементы управления доступом: Внедрить средства контроля доступа, ограничивающие объем информации, к которой могут получить доступ пользователи или злоумышленники. Это затруднит злоумышленникам сбор информации, которая может быть использована для использования уязвимостей в вашей системе.

Выполните тестирование безопасности: Регулярно проводите тестирование безопасности, такое как сканирование уязвимостей или тестирование на проникновение, для выявления и устранения любых потенциальных уязвимостей в вашей системе.

Поддерживайте свое программное обеспечение в актуальном состоянии: Убедитесь, что все программное обеспечение, включая операционные системы, приложения и плагины, поддерживается в актуальном состоянии с использованием последних исправлений и обновлений безопасности. Это поможет снизить риск использования известных уязвимостей.

Обучайте своих сотрудников: Проводите регулярные тренинги по безопасности для своих сотрудников, чтобы помочь им понять риски, связанные с утечкой информации из-за сообщений об ошибках, и способы ее предотвращения. Это поможет убедиться в том, что все сотрудники вашей организации осознают важность защиты конфиденциальной информации.

Заключение 

Утечка информации через сообщения об ошибках может представлять серьезную угрозу безопасности для организаций и пользователей. Злоумышленники могут использовать информацию, содержащуюся в сообщениях об ошибках, для получения доступа к системам, кражи конфиденциальных данных или проведения других атак. Для защиты от уязвимостей такого типа организациям следует использовать настраиваемые сообщения об ошибках, которые не раскрывают конфиденциальную информацию, ограничивают объем информации, отображаемой в сообщениях об ошибках, и внедряют средства контроля доступа для ограничения информации, к которой могут получить доступ пользователи или злоумышленники. Регулярное тестирование безопасности и обучение сотрудников также могут помочь снизить риск утечки информации из-за сообщений об ошибках. Предпринимая эти шаги, организации могут повысить безопасность своих систем и защитить их от потенциальных утечек данных и других кибератак.

Другие Услуги

Готовы к безопасности?

Связаться с нами