信息泄露--注意点点

最新推荐文章于 2024-07-22 14:49:16 发布
最新推荐文章于 2024-07-22 14:49:16 发布
阅读量8.2k 收藏 35
点赞数 16
分类专栏: # CTF+靶场 # 信息搜集 文章标签: 安全 网络 网络安全 网络攻击模型 计算机网络 安全威胁分析 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2303_80857229/article/details/139090101
版权

目录

明确目标:

信息泄露:

版本软件

敏感文件

配置错误

url基于文件:

url基于路由:

状态码:

http头信息泄露

报错信息泄露

页面信息泄露

robots.txt敏感信息泄露

.get文件泄露

--判断:

搜索引擎收录泄露

BP:

爆破:

明确目标:

失能

读取

写入

执行

信息泄露:

版本软件

.git svn hg bzr CVS

敏感文件

robots.txt www.zip 静态文件注释泄露

配置错误

DS_Store WEB-INF Apache/Nginx错误配置

......

url基于文件:

/admin/ 找目录,一般找默认的

/admin 找特定文件

url基于路由:

/user 访问的是user路由,不是文件,要根据server头判断.

状态码:

301 302 跳转

500 服务器内部错误

502 转发失败 error getaway

http头信息泄露

www.baidu.com/index.php

/index.jsp

--看数据包

报错信息泄露

清华

页面信息泄露

百度,京东--控制台

robots.txt敏感信息泄露

百度robots.txt

.get文件泄露

githack工具

--判断:

网址/.git/ -->403        (目录存在)

python py -u "git网址"

搜索引擎收录泄露

--百度

intitle:后台登录

--fofa

title="文件上传"

BP:

ctfshow抓包插件--代理

爆破:

多次.无限次

爆破单个参数 grep 过滤(停下来)

爆破账号密码 攻击类型选最后一个.

爆破http认证 (加前缀,加encode)

金灰
关注
  • 16
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
敏感信息泄露漏洞实战
tangshuangsss的专栏
01-22 4314
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如: ...
关于学习uni-app的学习总结
weixin_71894870的博客
05-20 757
这个是学习了uni-app一点点的看法
JAVA系列---内存泄露示例
lipviolet的博客
03-20 1049
这绝大概率就是内存泄漏了啊。但是在生产上的内存走势图完全看不出来这个趋势,我前面说了,主要因为 GC 情况的数据只会保留一周时间,所以就算把整个图放出来也不是那么直观。我再带着你看看另外一个视角,这是我真正定位到问题的视角。就是分析内存 Dump 文件。分析内存 Dump 文件的工具以及相关的文章非常的多,我就不赘述了,你随便找个工具玩一玩就行。我这里主要是分享一个思路,所以就直接使用 idea 里面的 Profiler 插件了,方便。
PHP-FPM 性能优化
外来物种
01-08 1532
▪ 前言 基于 Nginx, PHP-FPM 的网站,有时候会发现出现以下错误: The page you are looking for is temporarily unavailable.Please try again later. 排查服务器发现 Nginx 正常,PHP-FPM 也有进程,但是网页就是无法正常打开,重启 PHP-FPM 后网站就正常打开了。 ▪ 分析 找到 PHP-FPM 的错误日志文件,并查阅: $ tail /usr/local/php/var/log/php-fpm.lo
hitcon lab1-lab14
Maxmalloc的博客
12-23 1069
lab 1 ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.2, for GNU/Linux 2.6.32, BuildID[sha1]=0840aeca8337fc97ba1134067d05ee2563b3f4ce, not st...
JavaEE进阶 - Spring Boot 配置文件 - 细节狂魔
DarkAndGrey的博客
07-22 1992
1、properties是以key=value的形式配置的键值类型的配置⽂件.⽽yml使⽤的是类似json格式的树形配置⽅式进⾏配置的.yml层级之间使⽤换⾏缩进的⽅式配置,key和value之间使⽤“”(英⽂)冒号加空格的⽅式设置,并且空格不可省略。2、properties为早期并且默认的配置⽂件格式,但其配置存在⼀定的冗余数据,使⽤yml可以很好的解决数据冗余的问题。...
8.每天进步一点点---Python抓包要了解的知识
感谢关注-最近在编写开源的自动化测试框架还没整理完
12-11 843
1.HTTPS介绍 2.HTTPS的工作流程 3.抓包工具 wireshark, fiddler
cocos2d-x与ISO内存管理
每天成就一点点
10-09 1213
http://www.cocoachina.com/bbs/read.php?tid=71338 备注:图片纹理加载所占用的内存 = 长*宽*4,  图片使用 RGBA 模式, 一个像素点,占 4个字节 IOS设备的内存限制情况 设备                                              建议内存          
信息收集-红队
zkaqlaoniao的博客
01-19 1405
要说简单粗暴还是子域名枚举爆破,通过不断的拼接字典中的子域名前缀去枚举域名的A记录进行DNS解析,如果成功解析说明子域名存在。如xxx.com拼接前缀test组合成test.xxx.com,再对其进行验证。但是域名如果使用泛解析的话,则会导致所有的域名都能成功解析,使得子域名枚举变得不精准。nslookup验证下~泛解析域名,成功解析不存在的域名。普通解析,不存在的域名解析会失败。泛解析:使用通配符来匹配所有的子域名,从而实现所有的子级域名均指向相同网站空间。会存在域名劫持、域名恶意泛解析风险。
网络工具-下载工具-PP点点通免费下载.zip
09-20
尽管PP点点通提供了便捷的下载服务,用户在使用时也应注意安全问题。不从不明源头下载文件,以防病毒或恶意软件。同时,由于P2SP技术涉及用户间的共享,个人隐私可能面临泄露风险,因此在下载和分享文件时需谨慎。 ...
uni-xml-开源
05-03
- **安全性**:由于XML易读,需要注意防止敏感信息泄露。 通过uni-xml,开发者可以更加高效地管理和维护系统配置,降低复杂性,提高代码质量。作为开源项目,它不仅提供了便利的工具,也鼓励社区的协作和创新。
AdsForCharity-crx插件
04-02
注意,安装非官方或未经验证的扩展程序可能存在安全风险,因此确保从可靠来源获取此插件,并时刻关注其权限请求,避免个人信息泄露。 总的来说, AdsForCharity-crx 插件是将互联网的力量转化为公益行动的一个...
nazgul:实现环签名的库
02-04
- **隐私保护**:正确使用环签名库可以提高隐私,但错误的实现或使用方式可能会泄露用户信息。开发者需要谨慎处理与签名相关的数据。 - **更新维护**:密码学是一个快速发展的领域,新的攻击方法和技术不断出现。...
江苏苏州昆山2019-2020学年九年级上期末试卷.doc
10-11
14. 安全与环保知识:煤气泄漏严禁明火,溶洞探险需做灯火试验,使用可降解塑料可减少白色污染,提倡使用乙醇等再生性能源。 15. 化学物质性质:过滤无法软化硬水,食醋能除水垢,肥皂水可区分硬水和软水,铅笔芯可...
Lianwei 安全周报|2024.07.22
最新发布
联蔚盘云的博客
07-22 612
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
内容安全(深度行为检测技术、IPS、AV、入侵检测方法)
Thewei666的博客
07-17 1175
区分不同的签名。
ForCloud全栈安全体验,一站式云安全托管试用 开启全能高效攻防
亚信安全官方账号的博客
07-19 480
一站式云安全托管限时试用 开启全能高效攻防
Vue的安全性:防范XSS攻击与安全最佳实践
哎 你看的博客
07-19 612
随着Web应用的普及,前端安全问题日益受到重视。Vue作为当下流行的前端框架,其安全性也成为开发者关注的焦点。跨站脚本攻击(XSS)是常见的Web安全漏洞之一,本文将讨论如何在使用Vue时防范XSS攻击,并分享其他Vue中的安全最佳实践。
GBT20984-2022:信息安全风险评估新标准解读
通过遵循GB/T20984-2022,组织能够构建一个全面的风险评估框架,以确保信息安全策略与业务目标保持一致,同时降低由于未预见威胁或漏洞导致的数据泄露、系统瘫痪等风险。此标准适用于所有依赖信息技术的组织,无论...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

金灰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值