相关文章推荐
踢足球的遥控器  ·  Debug a Progressive ...·  1 月前    · 
绅士的打火机  ·  spring接口多实现类,选择性注入的4种解 ...·  6 月前    · 
想旅行的烤土司  ·  zmq ...·  2 年前    · 
逆袭的电梯  ·  #过年不停更#SpringMVC关于接收时间 ...·  2 年前    · 
怕老婆的口罩  ·  对象存储-Minio到底有多强? - 掘金·  2 年前    · 
Code  ›  超详细敏感信息泄露漏洞总结开发者社区
社区功能 隐私泄露 漏洞挖掘 信息泄露
https://cloud.tencent.com/developer/article/1969038
骑白马的黑框眼镜
2 年前
作者头像
网络安全自修室
0 篇文章

超详细敏感信息泄露漏洞总结

前往专栏
腾讯云
开发者社区
文档 意见反馈 控制台
首页
学习
活动
专区
工具
TVP
文章/答案/技术大牛
发布
首页
学习
活动
专区
工具
TVP
返回腾讯云官网
社区首页 > 专栏 > 网络安全自修室 > 超详细敏感信息泄露漏洞总结

超详细敏感信息泄露漏洞总结

作者头像
网络安全自修室
发布 于 2022-03-30 21:42:41
6.1K 0
发布 于 2022-03-30 21:42:41
举报

1、 免责声明

本文提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。

2、 内容速览

0x01 漏洞简介

敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等。

在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。主要分为由版本管理软件导致的泄露, 文件包含导致的泄露和配置错误导致的泄露.

0x02 漏洞是怎么发生的

  • 未能从公共内容中删除内部内容 。例如,在生产环境中,用户有时可以看到开发人员在加价中的评论。
  • 网站及相关技术配置不安全。 例如,如果无法禁用调试和诊断功能,有时可能会为攻击者提供有用的工具,帮助他们获取敏感信息。默认配置也会使网站变得脆弱,例如,通过显示过于冗长的错误消息。
  • 应用程序的设计和行为缺陷 。例如,如果网站在出现不同错误状态时返回不同的响应,这也可以允许攻击者列举敏感数据,例如有效的用户凭据。

0x03 漏洞危害

  1. 扫描内网开放服务
  2. 向内部任意主机的任意端口发送payload来攻击内网服务
  3. DOS攻击(请求大文件,始终保持连接Keep-Alive Always)
  4. 攻击内网的web应用,例如直接SQL注入、XSS攻击等
  5. 利用file、gopher、dict协议读取本地文件、执行命令等

0x04 测试方法

1、检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到敏感数据,主要是还是通过关键词爆破。

2、手工挖掘,根据web容器或者网页源代码的查看,Github,找到敏感信息。

操作系统版本

  • 可用nmap扫描得知

中间件的类型、版本

  • http返回头
  • 404报错页面
  • 使用工具(如whatweb)
  • 可用whatweb、cms_identify

Web敏感信息

  • phpinfo()信息泄露
http://[ip]/test.php
http://[ip]/phpinfo.php
  • 测试网页泄露在外网test.cgi、phpinfo.php、info.php等
  • 编辑器备份文件泄漏在外网
http://[ip]/test.php.swp
http://[ip]/test.php.bak
http://[ip]/test.jsp.old
 
推荐文章
踢足球的遥控器  ·  Debug a Progressive Web App (PWA) - Microsoft Edge Developer documentation | Microsoft Learn
1 月前
绅士的打火机  ·  spring接口多实现类,选择性注入的4种解决方案spring 一个接口有多个实现类,选择性依赖注入的4种解决方案。一个 - 掘金
6 月前
想旅行的烤土司  ·  zmq pub-sub通信之ipc双向主题_wx63626bb577bb3的技术博客_51CTO博客
2 年前
逆袭的电梯  ·  #过年不停更#SpringMVC关于接收时间相关的问题-开源基础软件社区-51CTO.COM
2 年前
怕老婆的口罩  ·  对象存储-Minio到底有多强? - 掘金
2 年前
今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
Code - 代码工具平台
© 2024 ~ 沪ICP备11025650号