【Pikachu】敏感信息泄露

已于 2023-12-14 12:37:47 修改
阅读量192 收藏
点赞数 1
分类专栏: # 靶场系列 文章标签: pikachu 靶场
于 2023-08-21 09:00:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZhaoSong_/article/details/132401115
版权
本文讨论了后台操作失误导致的敏感信息泄露问题,如通过URL访问可列出文件、错误参数暴露出系统信息,以及前端源码中的敏感数据。强调在web开发中,安全编码和妥善处理敏感信息的重要性,即使看似低危也可能引发严重后果。
摘要由CSDN通过智能技术生成

由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。

比如:

—通过访问url下的目录,可以直接列出目录下的文件列表;
—输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;
—前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;

类似以上这些情况,我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。 因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。

IcanseeyourABC

image-20230817204635197

查看页面代码,发现有一个测试账号:lili/123456

image-20230817204707393

使用测试账户进行登录,发现 成功 登录

image-20230817204758934

image-20230817204917155

过期的秋刀鱼-
关注
专栏目录
敏感信息泄露
qq_56289291的博客
07-29 2673
同样,您可以检查是否存在任何常见的配置错误或危险的默认设置,您可以利用这些错误或设置。攻击者可能无法完全加载其他用户的帐户页面,但例如,获取和呈现用户注册的电子邮件地址的逻辑可能不会检查参数是否与当前登录的用户匹配。在这种情况下,只需更改该参数,攻击者就可以在自己的帐户页面上显示任意用户的电子邮件地址。此行为通常是无害的,但偶尔会导致信息泄露,例如可能由反向代理附加到请求的内部身份验证标头的名称。由于第三方技术的广泛使用,这种情况尤其常见,其大量的配置选项不一定被实现它们的人很好地理解。...
干货|敏感信息泄露
m0_61596829的博客
06-17 1491
Web安全--敏感信息泄露
敏感信息泄露漏洞
qq_44484541的博客
04-06 1494
敏感信息(也称作敏感数据)是指由权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后,会产生不利于国家和组织的负面影响和利益损失,或不利于个人依法享有的个人隐私的所有信息敏感信息根据其信息种类的不同,可大致分为个人敏感信息、商业敏感信息、国家的敏感信息
敏感信息泄露20道wp
最新发布
m0_75141643的博客
07-28 286
查看网页源代码F12。
大数据时代个人信息透明化 保护隐私安全困难重重
weixin_34343308的博客
07-03 2898
随着全球范围内大数据产业的全面推进,公民隐私及个人信息保护问题也日益凸显,传统个人信息保护框架在大数据时代遭遇严峻冲击,如何寻求个人信息的合理及有效保护成为各国普遍面临的难题。 在我们的背后不知道有多少窥视的眼睛,身份、位置、银行账号……各种个人敏感信息正被各形各色的采集者获取,滥用、泄露的风险无处不在。大数据时代,个人信息保护正遭受严峻的挑战。 你放心...
pikachu敏感信息泄漏
07-27
对于pikachu敏感信息泄漏的情况,我们需要采取一系列措施来保护敏感信息的安全。首先,我们需要进行安全的代码编写,以避免应用维护或开发人员无意间上传敏感数据,比如避免将敏感信息存储在公开的代码库中。\[1\]...
pikachu-master.zip
06-25
1. SQL注入:这是一种常见的Web应用漏洞,攻击者通过构造恶意SQL语句,可以获取、修改或删除数据库中的敏感信息。在Pikachu靶场中,你可以学习如何识别SQL注入漏洞,以及使用各种技巧防止此类攻击。 2. XSS(跨站...
pikachu.7z
12-09
文件包含漏洞则是另一种常见威胁,攻击者可以利用该漏洞将远程或本地的文件内容注入到应用中,可能导致敏感信息泄露或服务器被控制。在Pikachu中,你可以探索如何构造恶意的文件路径来触发这类漏洞,并了解如何正确...
【Web安全从入门到放弃】11_目录遍历和敏感信息泄露漏洞
xhxtalent的博客
12-16 2657
11_目录遍历和敏感信息泄露漏洞 目录遍历漏洞概述 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能便的更加灵活。当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“…/”这样的手段让后台打开或者执行一些其他的文件。从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。 看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载,甚至
pikachu.rar
07-18
SQL注入是一种常见的网络安全漏洞,攻击者可以通过构造恶意的SQL语句,欺骗Web应用程序执行非预期的数据库操作,从而获取敏感信息或控制数据库。在"Pikachu"中,你可以通过实际操作学习如何识别SQL注入漏洞,以及...
【web渗透思路】敏感信息泄露(网站+用户+服务器)
11-22 8261
【渗透思路】敏感信息泄露
三、敏感信息泄露漏洞
weixin_46849264的博客
03-01 1868
【代码】敏感信息泄露漏洞。
敏感数据可能被窃取或泄露,引发数据隐私问题
图幻未来的博客
06-21 883
根据《中华人民共和国网络安全法》的规定,敏感数据是指涉及国家安全、公共安全、个人隐私等的信息。具体包括但不限于:身份信息、财产信息、通信记录、健康信息、教育经历、宗教信仰等。按数据类型划分,敏感数据可以分为三类:1. **身份信息**:包括姓名、性别、出生日期、身份证件号码、联系方式等;2. **财产信息**:包括银行账户、支付方式、交易记录、信贷记录、征信信息等;3. **其他信息**:包括地理位置、生物识别信息、职业信息、学历信息等。
敏感信息泄漏处置操作
墨痕诉清风的博客
05-21 668
2. 如果说数据是真实的,那接下来就是核实数据格式,确认泄露源头,比如泄露信息包含身份证号,那就从数据库字段,先确认身份证号都在哪些数据表里面存储,然后定位到API接口,都有哪些接口会传输身份证号。6. 联系相关机构:如果你的银行账户、信用卡信息泄露,你应该立即联系银行,让他们暂停你的账户,防止有人进行非法操作。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。》第二百五十三条法律规定,如果向他人提供个人信息的话,情节严重将会被判处。
交易所安全测试--信息泄露
m0_37598434的博客
03-08 3002
0x03 信息泄露 一、概述 信息泄露在安全审计中屡见不鲜,对于存有大量用户KYC信息的交易所来说影响更加深远,是非常严重的安全问题。零时科技安全团队在审计大量交易所后发现,信息泄露问题一般集中于交易所的账户体系、OTC交易系统、用户订单、邀请列表和网站源代码等地方。造成信息泄露的主要原因一般是由于服务器响应包内容没有经过处理就将用户的所有信息返回,配合其他漏洞甚至可以批量的获取用户敏感信息,除此...
ToolJet 敏感信息泄露漏洞(CVE-2022-23067)
murphysec的博客
05-19 774
CVE-2022-28181 漏洞是由于ToolJet中token泄露,导致用户账户易被攻击者访问。该漏洞影响范围小。官方已发布补丁。 编号      CVE-2022-23067 标题 ToolJet 敏感信息泄露漏洞 描述 ToolJet 是一个开源的低代码框架,可以快速构建和部署内部工具。ToolJet 版本 v0.5.0 到 v1.2.2 容易受到通过 Referer 标头导致帐户接管的token泄漏。如果用户打开邀请链接/注册链接,然后单击页面内的任何外部链接,则会泄露引用者
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值