敏感信息泄露学习

本文探讨了Web应用中敏感信息泄露的问题,包括可直接访问的目录、错误信息透露的技术细节以及前端源码中的敏感数据。通过实例展示了如何利用这些信息进行攻击,并提到了pikachu靶场中的相关测试。强调了尽管这类漏洞危险性较低,但能为攻击者提供进一步攻击的线索。解决方案应包括加强后台设计,避免暴露不必要的数据。
摘要由CSDN通过智能技术生成

敏感信息泄露

由于后台人员的疏忽或者设计不当,导致不应该被前端用户看到的数据被轻易地访问到。
如:

1、通过访问 url 下的目录,可以直接列出目录下的文件列表;
2、输入错误的 url 参数后报错信息里面包含操作信息、中间件、开发语言的版本或其他信息;
3、前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等。

像这些情况,就是敏感信息泄露。
敏感信息被认为是危险较低的漏洞,但这些敏感信息往往给攻击者实施进一步攻击提供了很大的帮助。

下面通过 pikachu 靶场里的敏感信息泄露模块对敏感信息泄露进行测试。

打开页面,是一个登录界面。
在这里插入图片描述
点击提示上面没有账号密码的信息。
不过前面做过很多模块登录过很多账号,可以拿过来试一试。有admin、pikachu、lucy、lily、vince、kobe等。
然后试出来账号kobe 是可以登录的。
登录进去之后可以看到,在 url 上可以看出来是访问了 abc.php 这个文件,这里就体现出了题目的 find abc 的意思。
在这里插入图片描述
另外,按F12 查看源代码也有提示给出了测试账号 lili/123456 可以登录进去。
在这里插入图片描述
既然知道了登录进去就是访问 abc.php 这个文件,那就可以在未登录的状态直接修改url 访问那个文件了。达到这个文件信息的泄露。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值