网络安全学习之信息泄露

最新推荐文章于 2024-04-27 08:01:34 发布
最新推荐文章于 2024-04-27 08:01:34 发布
阅读量417 收藏
点赞数 6
分类专栏: 网络安全 信息安全 程序员技能树 文章标签: web安全 安全 信息泄露
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Scalzdp/article/details/134964100
版权

一、背景以及泄露途径

通常我们会对数据进行备份,比如我们在发布网站的时候会对将要替换的版本进行备份。我们在对重要文件进行修改的时候我们也需要进行备份,如果我们对备份或缓存的文件或信息为做好管理,很容易就导致我们的敏感信息泄露。
那么在网络安全中信息泄露的途径特别多,就包括:网站源码、bak文件 、vim缓存、.DS_Store等等
常见的网站信息泄露就比如:当开发人员在线上环境中对源代码进行了备份操作,开发人员图方便将备份文件放在了 web 目录下,就会引起网站源码泄露。

二、泄露信息发现

我们又怎么去知道哪些信息泄露了呢?通常我们可以使用一些工具:

2.1 对于网站信息扫描

对于网站信息,我们可以使用dirsearch工具

    python3 dirsearch.py -u url -e *

就可以对特定url网站进行目录扫描,找出一些隐藏的目录

2.2 对于版本管理git信息扫描

对于我们常用的版本管理工具git,我们可以使用GitHacker 探测是否有隐藏信息

   python3 GitHacker.py url/.git

常见的git查看隐藏信息的命令有:
git log 查看git提交信息
git reset --hard git提交的id’
git stash pop stash 是git的堆栈区

2.3 对于版本管理svn

SVN泄露 会有一个.svn文件夹
使用dirsearch扫描
git clone https://github.com/kost/dvcs-ripper
使用 dvcs-ripper
脚本: ./rip-svn.pl -v -u url/.svn/

2.4 对于分布式版本工具hg

hg泄露,hg是一个分布式版本控制工具,Mercurial分布式版本控制系统,主程序名字是hg,所以简称hg,它是基于python的
./rip-hg.pl -v -u url/.hg

2.5 对于文件隐藏信息

查看文件隐藏泄漏的信息,除了可以直接看文档内容之外,我们还可以借助foremost工具,这是查看文件中是否隐藏了其他文件的方法

三、防范未然

从第二章,我们可得出,信息泄露分为无意和故意两种情况,无意即不小心,由于使用的工具存在缓存,或者这个工具记录了提交信息。另一种就是有意,这是出于某种目的将信息传递出去,比如在一个word文档中隐藏了另外一个资源。那么我们在防止信息泄露过程中,一方面,要规范工具使用流程和使用要求,避免由于工具导致信息泄露。另外一方面,我们要加强对人员的教育,规范操作和信息追踪,以防止人员故意将信息泄露。

四、总结

安全和防护,就像矛和盾的较量,“道高一尺魔高一丈”,是完全没有终点的。今天分享了信息泄露的部分途径,这些途径泄露信息是比较隐蔽的,需要一定的技术能力才能进行追踪。

Scalzdp
关注
  • 6
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全学习整理笔记
神二娃子的博客
04-08 1万+
网络安全法 一、背景 概念 网络:是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。 网络安全:是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。 网络运营者:是指网络的所有者、管理者和网络服务提供者。 网络数据:是指通过网络收集、存储、传输、处理和产生的各种电子数据。 个人信息:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自
网络安全学习笔记,自己写的,Python
04-19
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全不仅是个人的问题,也是国家安全的重要组成...
网络安全学习之攻击溯源思路
shayebudon的博客
04-19 4416
溯源思路及案例 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 ​ 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 ​ 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 ​ 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 ​ 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址—代理IP ​ 溯源案例:通过IP端口扫描,反向渗透服务器进行分析,最终定位到攻击者相关信息 ID追踪术 ​ ID追踪术,搜索引擎、社交平台.
nisp学习-1.1信息安全与网络空间安全
Charon_____ajsh的博客
11-07 1138
nisp的学习笔记
一文带你了解网络安全简史
聚集机器学习、信息安全
12-01 3159
本文介绍了网络安全的发展简史,从最早的计算机病毒到目前的高级威胁时代。
网络攻防演练.网络安全.学习
u010025781的博客
07-07 3478
网络安全攻防演练,是以不限制手段、路径,进行获取权限并攻陷指定靶机为目的实战攻防演练。通过真实网络中的攻防演练,采用不限攻击路径和攻击手段的方式,最大限度地模拟真实的网络攻击,以检验防守方的安全防护和应急处置能力,锻炼应急响应队伍,提升网络安全的综合防控能力。
网络安全学习网站总结
06-24
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全的教程.txt
04-10
网络安全渗透测试技术:学习如何模拟攻击者的行为,测试网络安全防护措施的有效性,包括信息收集、权限提升、数据泄露等测试方法。 三、网络安全实践 安全工具使用:熟悉并掌握常用的网络安全工具,如漏洞扫描器...
网络安全的概要分析与介绍
04-26
通过学习这些教程和书籍,用户可以深入了解网络安全的原理、技术和实践方法,提高自己的网络安全意识和技能。 同时,网络安全论坛也是获取安全资源的重要途径。这些论坛汇聚了大量的安全专家和爱好者,他们分享自己...
网络安全教程案例.docx
04-02
下面是一个简单的网络安全教程案例,重点介绍常见的网络安全问题和解决方法: ### 主题:密码安全和防范措施 #### 1. 背景介绍: 密码安全网络安全的基础,一个弱密码可能导致账户被盗,造成严重的数据泄露和...
网络安全思考题
最新发布
weixin_62304542的博客
04-27 590
网络安全渗透思考题
如何防止网络安全“木桶效应”
HoewDec的博客
04-22 366
基于WAAP理念,WAAP全站防护采用云化服务的方式,集成DDoS云清洗、Bot管理、API安全Web攻击防护四大能力,替代Web安全各个安全能力的简单叠加,可为企业提供覆盖Web基础设施、应用和业务的一体化防护方案。除此之外,WAAP可提供L3-L7层威胁纵深防御,防护引擎的架构,以资源、数据、实战经验和AI驱动的智能防护技术为能力底座,在复杂攻击场景下,通过通用模块和场景化防护模块的联动防护,能有效提升对抗效率和防护能力。我们必须正视这些挑战,积极应对,确保我们的网络空间安全、稳定、健康。
rmallox勒索病毒威胁网络安全:如何避免数据被锁定
wx_shuju315的博客
04-21 665
在面对被勒索病毒攻击导致的数据文件加密问题时,技术支持显得尤为重要,您可添加我们技术服务号(shuju315),我们的专业团队拥有丰富的数据恢复经验和技术知识,能够迅速定位问题并提供最佳解决方案。我们需要认识到勒索病毒的危害,不轻信来历不明的邮件、链接或附件,避免下载和安装非正规渠道的软件和应用程序。另外,定期备份重要数据也是防范勒索病毒的有效手段。为了防止自己的电脑被.rmallox勒索病毒攻击,我们可以采取一系列预防措施,从提高安全意识、加强系统防护到定期备份数据,全方位地保护我们的电脑安全
网络安全攻击溯源的重要性及挑战
TTmanghe的博客
04-24 454
网络安全攻击溯源是一个复杂且至关重要的过程,它涉及对网络攻击事件的来源进行追踪和分析,以便确定攻击者的身份、动机和攻击路径。在IP技术背景下,网络安全攻击溯源更是显得尤为重要,因为IP地址作为网络设备的唯一标识,为溯源工作提供了关键线索。首先,通过溯源,可以揭示攻击者的真实身份和动机,为相关部门提供打击网络犯罪的线索和证据。在IP技术背景下,我们需要充分利用各种溯源方法和技术,结合实际情况进行综合分析和判断,以揭示攻击者的真实身份和动机,为打击网络犯罪和维护网络空间安全提供有力支持。
网络安全】HTTP协议 — 特点
享你所想
04-23 957
【问题】为什么登录一个某些网站后,间隔一段时间,网站还是知道我们是谁呢?方法是为了告知服务器,该请求的意图是什么,向服务器所请求的资源下达命令。Http协议规定,请求从客户端发起,由服务端来响应该请求并返回。2)持久连接(HTTP keep alive)有问题可私聊:QQ:3375119339。1.URI(统一资源标识符)1)持久连接要解决的问题。五、持久连接&管线技术。1.不保存状态的协议。六、cookie技术。
【华科网安复试】网络安全——技术与实践 刘建伟版 重点和笔记
qq_19300283的博客
04-21 688
port模式:Client自己指定端口pasv模式:Server相应时会把端口发过去如果两个模式都开着用户自己可以选择的不安全,不加密,无认证,请用SSH协议缺陷:协议缺陷:一片非真正可信的网络,供外部和内网访问,但不能访问内网XXInternetDMZ内网 0x00: 单防火墙体系 #mermaid-svg-2GR4RMUMd0qj9OCa {font-family:"trebuchet ms",verdana,arial,sans-serif;font-size:16px;fill:#333;}#mer
IP定位技术助力网络安全保护
m0_73834612的博客
04-24 381
随着网络攻击的不断演变和网络环境的变化,IP定位技术将继续发挥着重要作用,为网络安全保护提供有力支持。尽管IP地址本身并不直接提供准确的地理信息,但结合其他数据源(如地理信息数据库、路由数据、ISP信息等),可以实现对设备位置的近似定位。例如,在网站登录过程中,可以检查用户IP地址的地理位置信息,以识别可能的欺诈行为或异地登录。4. ISP信息查询:最后,可以查询Internet服务提供商(ISP)的信息,了解与目标IP地址相关联的ISP名称、网络区域等信息。IP定位技术在网络安全中的应用。
网络安全WebShell截获
为了生活,不得不努力奋斗!
04-24 285
【代码】网络安全WebShell截获。
网络安全(黑客技术)—2024自学
Android_wxf的博客
04-17 1621
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全学习方法与心法分享
05-05
网络安全学习方法和心法分享: 1. 学习计算机和网络知识:要学习网络安全,首先需要了解计算机和网络的基本知识。通过学习操作系统、编程语言、网络协议等方面的知识,可以深入了解网络安全和攻防技术。 2. 加强...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Scalzdp

你的鼓励是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值