由於後台人員的疏忽或者不當的設計,導致不應該被前端使用者看到的資料被輕易的訪問到。比如:
通過訪問url下的目錄,可以直接列出目錄下的檔案列表;
輸入錯誤的url引數後報錯資訊裡面包含作業系統、中介軟體、開發語言的版本或其他資訊;
前端的原始碼(html,css,js)裡面包含了敏感資訊,比如後台登入位址、內網介面資訊、甚至賬號密碼等;
類似以上這些情況,我們成為敏感資訊洩露。
敏感資訊洩露雖然一直被評為危害比較低的漏洞,但這些敏感資訊往往給攻擊著實施進一步的攻擊提供很大的幫助,甚至「離譜」的敏感資訊洩露也會直接造成嚴重的損失。
因此,在web應用的開發上,除了要進行安全的**編寫,也需要注意對敏感資訊的合理處理。
不太懂有什麼用,直接遍歷就找到abc.php檔案了。
由於後台人員的疏忽或者不當的設計,導致不應該被前端使用者看到的資料被輕易的訪問到。比如:
通過訪問url下的目錄,可以直接列出目錄下的檔案列表;
輸入錯誤的url引數後報錯資訊裡面包含作業系統、中介軟體、開發語言的版本或其他資訊;
前端的原始碼(html,css,js)裡面包含了敏感資訊,比如後台登入位址、內網介面資訊、甚至賬號密碼等;
類似以上這些情況,我們成為敏感資訊洩露。
敏感資訊洩露雖然一直被評為危害比較低的漏洞,但這些敏感資訊往往給攻擊著實施進一步的攻擊提供很大的幫助,甚至「離譜」的敏感資訊洩露也會直接造成嚴重的損失。
因此,在web應用的開發上,除了要進行安全的**編寫,也需要注意對敏感資訊的合理處理。
不太懂有什麼用,直接遍歷就找到abc.php檔案了。
資訊洩露漏洞
洩露敏感的使用者或業務資料的危險相當明顯,但洩露技術資訊有時可能同樣嚴重。儘管某些資訊用途有限,但它可能是暴露其他攻擊面的起點,其中可能包含其他有趣的漏洞。有時,敏感資訊可能會不慎洩露給僅以正常方式瀏覽 的使用者。但是,更常見的是,攻擊者需要通過以意外或惡意的方式與 進行互動來引發資訊洩露。然後,他...
敏感資訊洩露
1 儲存 2 傳輸過程 http https 加密演算法如下 運維層面 日誌 備份檔案 配置檔案 應用層面 使用者資訊 通訊錄 郵箱 然後,攻擊者利用這個cookie 執行重放攻井接管使用者的會話從而訪問使用者的隱私資料。對於敏感資料,應當確保 1 當這些資料被長期儲存的時候,無論儲存在 它們是否都...
資訊蒐集 Git資訊洩露
git倉庫介紹 git 讀音為 git 是乙個開源的分布式版本控制系統,可以有效 高速地處理從很小到非常大的專案版本管理。通過git init建立乙個倉庫。git資訊洩露原理 通過洩露的.git資料夾下的檔案,還原重建工程源 解析.git index檔案,找到工程中所有的 檔名,檔案sha1 zli...