敏感信息介绍和测试方法

最新推荐文章于 2024-06-20 15:31:15 发布
最新推荐文章于 2024-06-20 15:31:15 发布
阅读量1.1k 收藏
点赞数
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/difination/article/details/122962845
版权

敏感信息泄露介绍:

因为系统管理员或者系统设计人员的疏忽、管理不当导致系统的配置信息、敏感数据(如用户登录名,身份证信息等)被其他用户可以轻易的收集到。

比如:

1.显示错误,在用户错误的url参数或其他数据参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息,从而导致web站点的默认后台被发现。

2.在前端的代码或源码中将敏感信息(将账号密码)直接写为注释

3.默认后台地址泄露,用户通过获取的搭建的cms系统,直接访问默认后台

例子1如下:

  在某网页的搜索页面输入单引号

  导致程序报错,从而泄露出后台的地址,之前还可以访问后台的现在好像被管理员修复了。

 

 

例子2如下:

  用户名和密码使用明文传输,在自己搭建的靶场中登录系统,使用账号xiaobai,密码xiaobai,设置代理

 

  点击登录后代理可以抓到数据包,同时可以直接看到账号和密码。如果在一些开放的wifi或是一些路由器节点上,容易被黑客获取账号密码。

 

内网漫游-网安人的梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安全测试方法
06-13
### 安全测试方法 #### 一、引言 随着信息技术的发展,网络安全问题日益凸显,安全测试成为确保信息...在实际的安全测试工作中,应当结合具体的应用场景和需求,灵活运用各种测试方法和技术,确保系统的安全可靠。
Tg测试方法
06-12
测试Tg的发展,主要是指随着材料科学和技术的发展,Tg测试方法也在不断进步。例如,使用更精确的温度控制和更敏感的检测设备,改进测试数据的分析方法,以及探索新型的测试技术等。这些发展使得Tg的测定更加准确、...
安全测试-敏感信息
天道酬勤
05-06 874
临时产生的敏感数据(写入内存或文件),应具有及时清除和释放机制 不要在HTTP GET请求参数中包含敏感信息,如用户名、密码、卡号、ID等 禁止表单中的自动填充功能,因为表单中可能包含敏感信息,包括身份验证信息 不要在客户端上以明文形式保存密码或其他敏感信息 为所有敏感信息采用SSL加密传输 禁止将敏感信息(包含加密秘钥等)硬编码在程序中 禁止明文存储用户的密码、身份证号、银行卡号、持卡人姓名等敏感信息 不要在日志中保存敏感信息,包含但不限于系统详细信息、会话标识符、密码等 禁止在异常中泄露应用服务器的..
筛选数组中的数据的敏感信息并展示
m0_58237008的博客
01-06 3278
数组中结合正则对数据进行筛选,并分别展示
Web 安全测试之信息泄漏测试
最新发布
weixin_71807218的博客
06-20 883
消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息,服务器系统信息Web 服务器软件名称、版本,Web 网站路径,除html 之外的源代码,业务敏感数据等。主要包括以下几方面内容:>> 数据库账号密码测试 >>客户端源代码敏感信息测试 >>客户端源代码注释内容测试>> 异常测试 >>不安全的存储测试 >>Web 服务器状态信息测试 >>HappyAxis.jsp 页面测试。
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 1918
渗透测试之敏感信息收集
风尚云网学习-前端页面敏感数据脱敏星号展示
08-25 7826
前端页面敏感数据脱敏星号展示,脱敏前:412345202208258888(随机例子)脱敏后:412345********8888。脱敏前:18112341234(随机例子)脱敏后:181****1234。脱敏前:张三疯(随机例子)脱敏前:张三(随机例子)...
前端敏感信息脱敏处理
52Hertz的博客
11-04 1895
敏感信息脱敏 以下为手机号,身份证,姓名,Email的处理方法 直接上代码 手机号 desensitizationPhone(str) { if (null != str && str != undefined) { var pat = /(\d{3})\d*(\d{4})/; return str.replace(pat, "$1****$2"); }else { return ""; } }, 身份证 desensitizationIdCard(s
WEB安全测试分类及防范测试方法
06-20
测试包括输入验证、错误处理和防止敏感信息泄露。 - **Cookie欺骗漏洞测试**:Cookie欺骗可能导致用户会话被劫持,测试时需验证Cookie的加密、HttpOnly属性以及Secure标志,防止Cookie被非法读取或修改。 - **用户...
软件测试方法
01-02
本文将详细介绍几种常见的软件测试方法,包括β测试(Beta测试)、α测试(Alpha测试)、可移植性测试、用户界面测试(UI测试)、冒烟测试、随机测试、本地化测试、本地化能力测试以及国际化测试,并深入探讨它们的...
Python实现加密接口测试方法步骤详解
09-16
### Python 实现加密接口测试方法步骤详解 在现代软件开发过程中,接口测试是确保系统安全性、稳定性和功能正确性的重要环节之一。对于涉及到敏感信息处理的应用来说,加密接口的测试显得尤为重要。本文将详细介绍...
使用过滤器过滤请求参数中的敏感信息
zlliuh的博客
06-14 1764
上节已经介绍了过滤器的使用方法,现在我们来看下实际场景中,如何使用过滤器过滤请求的参数中的敏感信息,主要针对get、post两种请求方式过滤。 1. get请求参数过滤 get请求,可以从request中拿到请求参数,看参数中是否包含敏感信息,假设敏感信息是"傻瓜" HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest; boolean flag = true; String b
重点:测试与开发中要考虑的安全问题,那些年我们曾经犯过的错......
大佬云集技术答疑交流群:743262921(进群暗号:222)
09-06 1005
在开发及测试过程中,系统的安全性是不得不考虑的问题,一旦系统出现安全问题,轻则用户信息或系统数据被盗,重则导致公司资金流失,因此写此文档以此来记录那些年我们曾经犯过的错。1、短信短信轰炸攻击手段:通过脚本不断调用短信发送接口给指定手机号发送短信。危害:用户投诉;产生大量短信费用;防御:增加图形验证码;增加同一个手机号1天的发送次数;封IP;短信验证码攻击手段:从短信发送接口返回的报文中获取短信验证码。危害:用户手机号被使用,用户信息泄露。
前端数据加解密:保护敏感信息的关键
Shids_的博客
11-06 1542
前端数据加解密:保护敏感信息的关键
【前端js文件敏感信息混淆加密处理】
weixin_43773210的博客
06-30 2576
前端js文件敏感信息混淆加密处理
网络安全等级保护测评高风险判定-安全通信网络-2
y995zq的博客
09-10 1180
1.安全通信网络 1.网络架构 1.1.6重要网络区域无边界访问控制措施 对应要求:应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。 判例内容:在网络架构上,重要网络区域与其他网络区域之间的边界处(包括内/外部网络区域、内/外部网络边界)无访问控制设备实施访问控制,可判定为高风险。例如重要网络区域与互联网等外部非安全可控网络边界处、核心生产网与办公网之间、业务核心区与无线网络接入区之间未部署访问控制设备实现访问控制措施等情况。 整改建议:建议合理规划网络架构,避免重
微信小程序——crypto-js参数加密、解密问题
月来better
06-29 6480
前言: 在很多项目中涉及到信息敏感问题,为防止http信息传输时参数被劫持进行二次传输的尴尬局面,最好使用前端加密参数请求,后端解密,返回数据时后端加密,前端解密。防止信息被盗取。目前主流的加密方式有:(对称加密)AES、DES(非对称加密)RSA 、DSA,关于前端加密解密的方案一般都是选用crpto-js的比较多。本文要讲AES加密 在vue中使用crypto-js加密解密时直接通过npm包 1.npm install crypto-js 2.import CryptoJS from 'crypto-j
网络信息安全敏感信息在传输、显示时如何加密和脱敏处理
热门推荐
wangpf2011的博客
01-25 1万+
客户端通过http协议获取系统重要敏感信息时,很容易造成敏感信息泄露。攻击者可以利用收集的重要敏感信息有针对性的制定计划对系统进行攻击。如何防护呢?首先应根据业务特点定义出系统存储的敏感信息,另外敏感信息在存储、传输、显示时应进行加密或脱敏处理。 1、敏感数据上传 客户端将敏感数据加密后上传至服务端,敏感信息Data采用对称加密算法进行加密传输,对称加密密钥Key采用非对称加密传输。具体步骤如下所示。 1)服务端生成有效密钥对,并将PublicKey返回给客户端。公私钥在一个会话周期内有效,若重新登录
黑盒测试之敏感信息泄露
LAngle9的博客
04-14 2520
测试环境准备,配置hosts ,测试账号,浏览器开启代理。 工具, burp ,设置代理和浏览器一致,开始抓包。 把所有页面全部点一遍,再看burp 抓的包,.css与. js 的页面一般不用太关注,因为这些回包的内容都是一些框架之类的,不涉及用户信息,不算敏感的数据包。 . json这个是主要要看的包,看它的回包中是否有用户手机号,身份证号,银行卡号,秘钥,等是否存在明文传输,如有这是也算是个中危漏洞。 当然这只是看网页自身的返回包,没有去执行什么操作的时候是否有敏感信息泄露。整体看完后,在着重看
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值