G 4.87 Offenlegung vertraulicher Informationen bei Webanwendungen und Web-Services

Webseiten und Daten, die von einer Webanwendung oder einem Web-Service generiert und ausgeliefert werden, können vertrauliche Informationen enthalten, die nicht für die Nutzung der Webanwendung oder des Web-Service erforderlich sind (zum Beispiel Angaben zu Produkt und Versionsständen von Frameworks oder Informationen über Schnittstellen und Funktionen in WSDL-Dokumenten oder im UDDI-Register). Diese Informationen können einem Angreifer Hinweise zur Durchführung gezielter Angriffe geben. Wenn demzufolge Informationen unnötig offengelegt werden, kann dies einen erfolgreichen Angriff erleichtern. Hierbei können diese Informationen auch über weniger offensichtliche Übertragungswege übermittelt werden (zum Beispiel im HTTP-Header).

Beispiele: