1464 見つかった項目

脆弱性

System Information Leak: Apache Axis 2

Java/JSP

Abstract

システムデータやデバッグ情報の開示は、システムについて攻撃者に教えることになり、攻撃の計画が立てやすくなります。

Explanation

情報漏れが発生するのは、システムデータやデバッグ情報が出力ストリームやロギング機能を通じてプログラムから出ていく場合です。

このパラメーターは、フォルトメッセージをクライアントに送信するように Apache Axis 2 に指示します。フォルトメッセージにはスタックトレースが含まれ、場合によっては、エラーメッセージから、システムがどのような攻撃に対して脆弱かを攻撃者が正確に把握してしまいます。たとえば、あるデータベースのエラーメッセージから、アプリケーションが SQL インジェクション攻撃に対して脆弱であることがわかる場合があります。また、他のエラーメッセージがシステムに関する間接的な手がかりを示すことがあります。

References

[1] How to stop Axis2 sending stack traces in case of a fault? WSO2

[2] Standards Mapping - Common Weakness Enumeration CWE ID 497

[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200

[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200

[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200

[6] Standards Mapping - Common Weakness Enumeration Top 25 2024 [17] CWE ID 200

[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001312, CCI-001314, CCI-002420, CCI-003272

[8] Standards Mapping - FIPS200 CM

[9] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[10] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-4 Information Flow Enforcement (P1), SA-15 Development Process and Standards and Tools (P2), SC-8 Transmission Confidentiality and Integrity (P1), SI-11 Error Handling (P2)

[11] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-4 Information Flow Enforcement, SA-15 Development Process and Standards and Tools, SC-8 Transmission Confidentiality and Integrity, SI-11 Error Handling

[12] Standards Mapping - OWASP API 2023 API8 Security Misconfiguration

[13] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.3.4 Sensitive Private Data (L1 L2 L3), 14.3.3 Unintended Security Disclosure Requirements (L1 L2 L3)

[14] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[15] Standards Mapping - OWASP Top 10 2004 A10 Insecure Configuration Management

[16] Standards Mapping - OWASP Top 10 2007 A6 Information Leakage and Improper Error Handling

[17] Standards Mapping - OWASP Top 10 2010 A6 Security Misconfiguration

[18] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration

[19] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration

[20] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.5.6

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.5

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.5

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.5

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.5

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.5

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[30] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention

[31] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention

[32] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention

[33] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3620 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3620 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3620 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3620 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3620 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3620 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3620 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[55] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[56] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)

[57] Standards Mapping - Web Application Security Consortium 24 + 2 Information Leakage

desc.config.java.system_information_leak_apache_axis2

System Information Leak: External

Abstract

システムデータやデバッグ情報の開示は、システムについて攻撃者に教えることになり、攻撃の計画が立てやすくなります。

Explanation

外部への情報漏えいは、システムデータやデバッグ情報がプログラムからソケットまたはネットワーク接続を経由してリモートのマシンに送られる場合に発生します。
例 1: 次のコードは、画面に SAPFTP バージョンの情報を出力します。


...
CALL FUNCTION 'FTP_VERSION'
  ...
  IMPORTING
    EXEPATH     = p
    VERSION     = v
    WORKING_DIR = dir
    RFCPATH     = rfcp
    RFCVERSION  = rfcv
  TABLES
    FTP_TRACE =                 FTP_TRACE.

WRITE: 'exepath: ', p, 'version: ', v, 'working_dir: ', dir, 'rfcpath: ', rfcp, 'rfcversion: ', rfcv.
...

選択画面の設定によっては、この情報は画面にダンプされたり、プリンターに直接送信されたりする場合があります。このバージョン情報により、システムがどのような攻撃に対して脆弱か、攻撃者に正確に伝わる可能性もあります。同じように、エラーメッセージにより、システムがどのような攻撃に対して脆弱か、攻撃者に正確に伝わる可能性もあります。たとえば、あるデータベースのエラーメッセージから、アプリケーションが SQL Injection 攻撃に対して脆弱であることがわかる場合があります。また、他のエラーメッセージがシステムに関する間接的な手がかりを示すことがあります。

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 215, CWE ID 489, CWE ID 497

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200

[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200

[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200

[5] Standards Mapping - Common Weakness Enumeration Top 25 2024 [17] CWE ID 200

[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001312, CCI-001314, CCI-002420

[7] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-4 Information Flow Enforcement (P1), AC-23 Data Mining Protection (P0), SC-8 Transmission Confidentiality and Integrity (P1), SI-11 Error Handling (P2)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-4 Information Flow Enforcement, AC-23 Data Mining Protection, SC-8 Transmission Confidentiality and Integrity, SI-11 Error Handling

[10] Standards Mapping - OWASP API 2023 API3 Broken Object Property Level Authorization

[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.3.4 Sensitive Private Data (L1 L2 L3), 14.3.2 Unintended Security Disclosure Requirements (L1 L2 L3), 14.3.3 Unintended Security Disclosure Requirements (L1 L2 L3), 14.2.2 Dependency (L1 L2 L3)

[12] Standards Mapping - OWASP Mobile 2014 M2 Insecure Data Storage

[13] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-PLATFORM-2, MASVS-STORAGE-1

[14] Standards Mapping - OWASP Top 10 2007 A6 Information Leakage and Improper Error Handling

[15] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.5.6

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.5

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.5

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.5

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.5

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[24] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention

[25] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention

[26] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention

[27] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3620 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3620 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3620 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3620 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3620 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3620 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3620 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000450 CAT II, APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000450 CAT II, APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000450 CAT II, APSC-DV-002480 CAT II, APSC-DV-002570 CAT II, APSC-DV-002580 CAT II

[50] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)

[51] Standards Mapping - Web Application Security Consortium 24 + 2 Information Leakage

desc.dataflow.abap.system_information_leak_external

Abstract

システムデータやデバッグ情報の開示は、攻撃者がシステム情報を使用して攻撃を計画する可能性があります。

Explanation

外部への情報漏えいは、システムデータやデバッグ情報がプログラムからソケットまたはネットワーク接続を経由してリモートのマシンに送られる場合に発生します。

例 1: 次のコードは、スタックトレースを「デバッグ」コンソールまたはログファイルに出力します。


  try {
    ...
  }
  catch(e:Error) {
    trace(e.getStackTrace());
  }

システム構成により異なりますが、この情報は、コンソールへのダンプ、ログファイルへの書き込み、およびリモートユーザーへの開示が可能です。たとえば、スクリプトメカニズムを使用すると、「標準エラー」または「標準出力」から出力情報をファイルまたは他のプログラムへ容易にリダイレクトできます。または、プログラムが実行されるシステムに、リモートデバイスへログを送信する「syslog」サーバーなどのリモートロギングメカニズムを設定できます。開発中、この情報が最終的にどこで表示されることになるかを知る方法はありません。

場合によってはエラーメッセージから、システムがどのような攻撃に対して脆弱か攻撃者が正確に把握してしまいます。たとえば、あるデータベースのエラーメッセージから、アプリケーションが SQL Injection 攻撃に対して脆弱であることがわかる場合があります。また、他のエラーメッセージがシステムに関する間接的な手がかりを示すことがあります。Example 1 では、検索パスに、オペレーティングシステムのタイプ、システムにインストールされているアプリケーション、およびプログラムの設定に対する管理者の警戒度についての情報が含まれています。