CWE -CWE -215：将敏感信息插入调试代码（4.10）

弱点ID：215

抽象：根据
结构：简单的

查看自定义信息：

描述

该产品将敏感信息插入调试代码中，如果调试代码在生产中没有禁用，则可以暴露此信息。

扩展描述

调试时，可能有必要向程序员报告详细信息。但是，如果在产品在生产环境中运行时未禁用调试代码，则此敏感信息可能会暴露于攻击者。

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

与观点“研究概念”相关（CWE-1000）

自然	类型	ID	姓名
Childof	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	200	将敏感信息暴露于未经授权的演员
可以按照	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	489	主动调试代码

与“软件开发”视图相关（CWE-699）

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	199	信息管理错误

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

阶段	笔记
建筑和设计
执行

适用的平台

该清单显示了可能出现的弱点的可能区域。这些可能适用于特定的命名语言，操作系统，体系结构，范式，技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

班级：不是特定语言的（不确定的患病率）

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

范围	影响	可能性
保密	技术影响：读取应用程序数据

示例的例子

示例1

以下程序根据调试标志更改其行为。

（不良代码）

示例语言：JSP

<％if（boolean.getBoolean（“ debugeNabled”））{

％>
用户帐号：<％= acctno％>
<％
}％>

如果“ debugeNabled”标志设置为true，则该代码将敏感的调试信息写入客户端浏览器。

观察到的例子

参考	描述
CVE-2004-2268	在调试信息中暴露的密码。
CVE-2002-0918	触发错误时，CGI脚本在调试消息中包括敏感信息。
CVE-2003-1078	带有调试选项的FTP客户端启用了屏幕上的密码。

潜在的缓解

阶段：实施

请勿留下可以在源代码中执行的调试语句。在发布软件之前，请确保所有调试信息都已消除。

阶段：建筑和设计

策略：特权分离

将系统划分为具有“安全”的区域，在这些区域中可以明确地绘制信任边界。请勿让敏感的数据超出信任边界，并在与安全区域外的隔间接口时始终小心。

确保在系统设计中内置适当的隔室化，并允许隔室化允许并增强特权分离功能。建筑师和设计师应依靠至少特权的原则来决定使用特权和丢弃特权的适当时间。

会员资格

此成员关系表显示了其他CWE类别和视图，将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	717	OWASP前十大2007年A6类 - 信息泄漏和错误处理不当
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	731	OWASP前十名2004类A10类 - 不安全配置管理
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	933	OWASP 2013年前十大A5类 - 安全性错误
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	963	SFP辅助群集：暴露数据

笔记

关系

这与其他类别重叠。

分类映射

映射的分类名称	节点ID	合身	映射的节点名称
plover			使用调试信息信息
OWASP 2007年前十名	A6	CWE更具体	信息泄漏和错误处理不当
OWASP 2004年前十名	A10	CWE更具体	不安全的配置管理
软件故障模式	SFP23		暴露数据

内容历史记录

提交
提交日期	提交者	组织
2006-07-19	plover
2006-07-19
修改
修改日期	修饰符	组织
2008-07-01	Sean Eidemiller	雪茄
2008-07-01	添加/更新的示例
2008-07-01	埃里克·达奇（Eric Dalci）	雪茄
2008-07-01	更新的time_of_introduction
2008-08-15		VeraCode
2008-08-15	建议OWASP前十名2004年映射
2008-09-08	CWE内容团队	MITER
2008-09-08	更新的关系，关系_notes，分类_mappings
2009-05-27	CWE内容团队	MITER
2009-05-27	更新了示范_examples
2010-09-27	CWE内容团队	MITER
2010-09-27	更新的描述，名称，obsoved_examples
2011-06-01	CWE内容团队	MITER
2011-06-01	更新的common_conconquence，关系，分类_mappings
2012-05-11	CWE内容团队	MITER
2012-05-11	更新的关系，分类_mappings
2012-10-30	CWE内容团队	MITER
2012-10-30	更新的势_MINEIGATIONS
2014-06-23	CWE内容团队	MITER
2014-06-23	更新的关系
2014-07-30	CWE内容团队	MITER
2014-07-30	更新的示范_examples，关系，分类_mappings
2017-11-08	CWE内容团队	MITER
2017-11-08	更新了适用的_platforms
2020-02-24	CWE内容团队	MITER
2020-02-24	更新的示范示例，描述，名称，势_缩减，关系，time_of_introduction，类型
2020-12-10	CWE内容团队	MITER
2020-12-10	更新的势_MINEIGATIONS
2023-01-31	CWE内容团队	MITER
2023-01-31	更新的描述
先前的输入名称
改变日期	先前的输入名称
2010-09-27	通过调试信息泄漏信息

2020-02-24	通过调试信息的信息暴露

普遍的弱点

CWE-215：将敏感信息插入调试代码


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用共同弱点枚举（CWE）和本网站的相关参考使用条款。CWE由美国国土安全部（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页（MITER）。版权所有©2006–2023，Miter Comanbetx客户端首页rporation。CWE，CWSS，CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页