4.1.5-检查网页内容是否存在信息泄露

最新推荐文章于 2024-04-23 16:54:50 发布
最新推荐文章于 2024-04-23 16:54:50 发布
阅读量459 收藏
点赞数
分类专栏: 4.1 信息收集 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44232452/article/details/132853849
版权

检查网页内容是否存在信息泄露

ID
WSTG-INFO-05

总结

程序员在他们的源代码中包含详细的注释和元数据是很常见的,甚至建议这样做。但是,HTML 代码中包含的注释和元数据可能会泄露潜在攻击者不应获得的内部信息。应进行注释和元数据审查,以确定是否有任何信息被泄露。此外,某些应用程序可能会泄漏重定向响应正文中的信息。

对于现代 Web 应用程序,在前端使用客户端 JavaScript 正变得越来越流行。流行的前端构造技术使用客户端JavaScript,如ReactJS,AngularJS或Vue。与HTML代码中的注释和元数据类似,许多程序员也在前端的JavaScript变量中对敏感信息进行硬编码。敏感信息可以包括(但不限于):私有 API 密钥(例如不受限制的 Google 地图 API 密钥)、内部 IP 地址、敏感路由(例如指向隐藏管理页面或功能的路由),甚至凭据。这些敏感信息可以从此类前端 JavaScript 代码中泄露。应进行审查,以确定是否有任何敏感信息泄露,可能被攻击者用于滥用。

对于大型 Web 应用程序,性能问题是程序员非常关心的问题。程序员使用不同的方法来优化前端性能,包括语法上很棒的样式表(Sass),Sassy CSS(SCSS),webpack等。使用这些技术,前端代码有时会变得难以理解和调试,因此,程序员经常部署源映射文件以进行调试。“源映射”是一个特殊文件,它将资产的缩小/丑化版本(CSS或JavaScript)连接到原始创作版本。程序员仍在争论是否将源映射文件引入生产环境。但是,不可否认的是,源映射文件或用于调试的文件如果发布到生产环境,将使其源文件更易于人类阅读。它可以使攻击者更容易从前端查找漏洞或从前端收集敏感信息。应该进行JavaScript代码审查,以确定是否有任何调试文件从前端公开。根据项目的上下文和敏感性,安全专家应决定文件是否应存在于生产环境中。

测试目标

  • 查看网页评论、元数据和重定向正文以查找任何信息泄漏。
  • 收集 JavaScript 文件并查看 JS 代码,以更好地了解应用程序并查找任何信息泄漏。
  • 确定是否存在源映射文件或其他前端调试文件。

如何测试

查看网页注释和元数据

开发人员经常使用 HTML 注释来包含有关应用程序的调试信息。有时,他们会忘记注释并将其留在生产环境中。测试人员应查找以<!--开头的 HTML 注释。

检查 HTML 源代码中是否有包含敏感信息的注释,这些信息可以帮助攻击者更深入地了解应用程序。它可能是 SQL 代码、用户名和密码、内部 IP 地址或调试信息。

...
<div class="table2">
  <div class="col1">1</div><div class="col2">Mary</div>
  <div class="col1">2</div><div class="col2">Peter</div>
  <div class="col1">3</div><div class="col2">Joe</div>

<!-- Query: SELECT id, name FROM app.users WHERE active='1' -->

</div>
...

测试人员甚至可能会发现这样的东西:

<!-- Use the DB administrator password for testing:  f@keP@a$$w0rD -->

检查 HTML 版本信息以获取有效的版本号和数据类型定义 (DTD) URL

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd">
  • strict.dtd – default strict DTD(默认)
  • loose.dtd – loose DTD(松散)
  • frameset.dtd – DTD for frameset documents(文档的框架集)

某些META 标签不提供主动攻击媒介,而是允许攻击者分析应用程序:

<META name="Author" content="Andrew Muller">

一个常见的(但不符合 WCAG)标记是刷新。 (但不符合 WCAG compliant) META 标记是刷新 Refresh

<META http-equiv="Refresh" content="15;URL=https://www.owasp.org/index.html">

META 标记的常见用途是指定搜索引擎可用于提高搜索结果质量的关键字。

<META name="keywords" lang="en-us" content="OWASP, security, sunshine, lollipops">

尽管大多数 Web 服务器通过robots.txt 文件管理搜索引擎索引,但它也可以通过 META 标签进行管理。下面的标签将建议机器人不要索引,也不要跟踪包含标签的HTML页面上的链接。

<META name="robots" content="none">

互联网内容选择平台Platform for Internet Content Selection (PICS) Web 描述资源协议 Protocol for Web Description Resources (POWDER) 为将元数据与互联网内容相关联提供了基础设施。

识别 JavaScript 代码和收集 JavaScript 文件

程序员经常在前端使用 JavaScript 变量对敏感信息进行硬编码。测试人员应该检查HTML源代码,并在<script></script> 标签之间寻找JavaScript代码。测试人员还应该识别外部JavaScript文件来审查代码(JavaScript文件具有JavaScript文件的文件扩展名 .js 和名称,通常放在<script> 标签的src(source)属性中)。

检查 JavaScript 代码是否存在任何敏感信息泄漏,攻击者可能会利用这些信息进一步滥用或操纵系统。查找以下值:API 密钥、内部 IP 地址、敏感路由或凭据。例如:

const myS3Credentials = {
  accessKeyId: config('AWSS3AccessKeyID'),
  secretAccessKey: config('AWSS3SecretAccessKey'),
};

测试人员甚至可能会发现这样的东西:

var conString = "tcp://postgres:1234@localhost/postgres";

找到 API 密钥后,测试人员可以检查 API 密钥限制是按服务设置的,还是按 IP、HTTP 引荐来源网址、应用程序、SDK 等设置的。

例如,如果测试人员找到 Google 地图 API 密钥,他们可以检查此 API 密钥是否受 IP 限制或仅根据 Google 地图 API 进行限制。如果Google API Key仅根据Google Map API受到限制,攻击者仍然可以使用该API密钥查询不受限制的Google Map API,并且应用程序所有者必须为此付费。


<script type="application/json">
...
{"GOOGLE_MAP_API_KEY":"AIzaSyDUEBnKgwiqMNpDplT6ozE4Z0XxuAbqDi4", "RECAPTCHA_KEY":"6LcPscEUiAAAAHOwwM3fGvIx9rsPYUq62uRhGjJ0"}
...
</script>

在某些情况下,测试人员可能会从 JavaScript 代码中找到敏感路由,例如指向内部或隐藏管理页面的链接。

<script type="application/json">
...
"runtimeConfig":{"BASE_URL_VOUCHER_API":"https://staging-voucher.victim.net/api", "BASE_BACKOFFICE_API":"https://10.10.10.2/api", "ADMIN_PAGE":"/hidden_administrator"}
...
</script>

标识源映射文件

源映射文件通常会在 DevTools 打开时加载。测试人员还可以通过在每个外部 JavaScript 文件的扩展名后添加“.map”扩展名来查找源映射文件。例如,如果测试人员看到一个/static/js/main.chunk.js 文件,他们可以通过访问 /static/js/main.chunk.js.map 来检查其源映射文件。

检查源映射文件以获取可帮助攻击者更深入地了解应用程序的任何敏感信息。例如:

{
  "version": 3,
  "file": "static/js/main.chunk.js",
  "sources": [
    "/home/sysadmin/cashsystem/src/actions/index.js",
    "/home/sysadmin/cashsystem/src/actions/reportAction.js",
    "/home/sysadmin/cashsystem/src/actions/cashoutAction.js",
    "/home/sysadmin/cashsystem/src/actions/userAction.js",
    "..."
  ],
  "..."
}

当站点加载源映射文件时,前端源代码将变得可读且更易于调试。

识别泄露信息的重定向响应

尽管重定向响应通常不会包含任何重要的 Web 内容,但不能保证它们不能包含内容。因此,虽然 300 系列(重定向)响应通常包含“重定向到 https://example.com/”类型的内容,但它们也可能泄漏内容。

考虑重定向响应是身份验证或授权检查的结果的情况,如果该检查失败,服务器可能会响应将用户重定向回“安全”或“默认”页面,但重定向响应本身可能仍包含未显示在浏览器中但确实传输到客户端的内容。这可以通过利用浏览器开发人员工具或通过个人代理(例如 ZAP、Burp、Fiddler 或 Charles)看到。

工具

引用

白皮书

开启学习模式
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
selenium-4.1.5-py3-none-any.whl
03-19
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息
在线检测你的密码是否被泄露
热门推荐
05-08 2万+
在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极大的威胁。今天给大家推荐几...
AppScan安全漏洞报告
收集盒 Book box
01-06 1388
1.会话cookie 中缺少HttpOnly 属性。   修复任务: 向所有会话cookie 添加“HttpOnly”属性    解决方案,过滤器中,  Java代码   HttpServletResponse response2 = (HttpServletResponse)response;   //httponly是微软对cookie做的扩展,该值指定 Cook
敏感信息泄露漏洞实战
tangshuangsss的专栏
01-22 4117
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如: ...
10个你必须知道的浏览器指纹检测工具,保护你的隐私安全
Pencil2038的博客
03-27 1213
总而言之,了解和使用浏览器指纹检测工具对于维护网络隐私很有帮助,通过使用浏览器指纹检测工具,我们能够识别出哪些信息可能被用来追踪我们的在线行为。然而,为了实际阻止这种追踪,结合AdsPower这样的防指纹浏览器可以提高我们的隐私保护水平,还可以帮助我们在维护多个在线账户的隐私安全性方面做得更好。通过这些措施,我们可以更加自信地在数字世界中导航,而不必担心我们的个人信息被不必要地暴露。
Web安全—敏感信息泄露
weixin_44431280的博客
01-17 2852
敏感信息泄露常见场景: 敏感信息: 后台URL地址,操作系统类型,数据库类型,脚本类型,接口信息等 常见场景: 1,通过访问URL下的目录,可以直接列出目录下的所有文件列表(目录遍历,index of) 2,构造输入错误的URL,服务端返回错误信息包括操作系统,Web容器版本,脚本语言类型等 3,前端的源码(CSS,JS和HTML)里面包含敏感信息,后台登陆地址,内网接口信息,甚至账号密码等 ...
敏感信息泄露
qq_56289291的博客
07-29 2568
同样,您可以检查是否存在任何常见的配置错误或危险的默认设置,您可以利用这些错误或设置。攻击者可能无法完全加载其他用户的帐户页面,但例如,获取和呈现用户注册的电子邮件地址的逻辑可能不会检查参数是否与当前登录的用户匹配。在这种情况下,只需更改该参数,攻击者就可以在自己的帐户页面上显示任意用户的电子邮件地址。此行为通常是无害的,但偶尔会导致信息泄露,例如可能由反向代理附加到请求的内部身份验证标头的名称。由于第三方技术的广泛使用,这种情况尤其常见,其大量的配置选项不一定被实现它们的人很好地理解。...
常见WEB开发安全漏洞 原因分析及解决
li09chao的博客
07-11 762
目 录 1 会话标识未更新 3 1.1 原因 3 1.2 解决 3 2 SQL注入 3 2.1 原因 3 2.2 解决 5 3 XSS跨站脚本编制 5 3.1 原因 5 3.2 解决 5 4 XSRF跨站请求伪造 7 4.1 原因 7 4.2 解决 8 5 登录错误消息凭证枚举(不充分帐户封锁) 8 5.1 原因 8 5.2 解决 9 6 HTML注释敏感信息泄露 ...
防止抓取html代码,网页中用html代码注释的内容会被抓取吗
weixin_29003437的博客
05-31 453
很多站长都知道网页代码里面有注释代码这么个东西,其形式是,在HTML里面注释的内容出现在网页源代码,而用户浏览网页的过程中是看不到的。因为注释内容在源代码展现又不会影响页面内容,所以很多人觉得蜘蛛会抓取注释信息并参与到网页的分析排名,于是在网页加入大量的注释内容,甚至直接在注释里面堆砌关键词。那么网页里注释的内容会被抓取吗?我们先来看看百度工程师是如何回答的:问:注释掉的内容否会被百度抓取分析?百...
自动填写未对密码字段禁用的html属性,解决数据标准及质量AppScan(测试)安全性问题相关方法...
weixin_31813357的博客
06-02 333
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出所有以下字符:[1] |(竖线符号)[2] &(&符号)[3];(分号)[4] $(...
httpasyncclient-4.1.5-API文档-中英对照版.zip
03-30
对应Maven信息:groupId:org.apache.httpcomponents,artifactId:httpasyncclient,version:4.1.5 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的...
httpasyncclient-4.1.5-API文档-中文版.zip
05-09
赠送Maven依赖信息文件:httpasyncclient-4.1.5.pom; 包含翻译后的API文档:httpasyncclient-4.1.5-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.httpcomponents:httpasyncclient:4.1.5; 标签:...
ECShop-V4.1.5-UTF8-release20210513,ECShop-V4.1.5电商商城源码
10-20
ECShop_V4.1.5电商商城源码,ECShop_V4.1.5_UTF8_release20210513
avalon-framework-api-4.1.5-rc2.jar
03-11
官方版本,亲测可用
网络安全(黑客技术)—2024自学手册
TDJYGC的博客
04-20 1075
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
从内部防护汽车网络安全——硬件安全模块(HSM)保护ECU主处理器内部
最新发布
dianqicyuyan的博客
04-23 271
HSM是一种硬件,它以物理方式封装了安全功能。其集成芯片专为IT安全应用而设计,通常具有自己的处理器核心、各种内存(RAM、ROM、闪存等)和硬件密码加速器。此外,HSM必须满足用于车辆应用的特定标准,并且极其有效的集成对于降低成本至关重要。其主要要求包括ECU应用程序和HSM之间的安全接口,以及用于分析故障的调试/测试接口。HSM必须能够以尽可能短的等待时间处理加密信息,并能够承受汽车环境中的标准温度。从根本上说,HSM通过其自己的处理器核心来执行汽车应用场景所需的所有IT安全功能。
网络安全(黑客技术)—2024自学
TDJYGC的博客
04-17 1465
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
【网络安全】常见的网路安全设备及功能作用总结
白帽黑客八哥的博客
04-22 329
一种整合多种安全功能(如防火墙、防病毒、内容过滤等)于一体的网络安全设备。
网络安全之SQL注入及防御(下篇)
weixin_70911257的博客
04-23 1171
sql注入waf绕过
django-4.1.5-py3-none-any.whl
05-16
Django是一个流行的Python web框架,它被用于开发高效、可扩展和安全web应用程序。而django-4.1.5-py3-none-any.whl是Django的一个库文件,其中py3表示该库文件适用于Python3,none-any表示该库文件与操作系统平台无关。whl文件(Wheel)则是Python的一种库文件格式,使用这种格式的库文件可以方便安装和分发Python库。 由文件名可以看出,django-4.1.5-py3-none-any.whl是Django框架的一个功能包。这个包可以通过pip命令进行安装,安装方法如下: pip install django-4.1.5-py3-none-any.whl 安装后,该包将添加一些新的功能和特性到Django框架中,使开发者能够更加方便地构建Web应用程序。 对于那些在Django框架上进行开发的用户来说,了解库文件的支持是很重要的。如果需要实现新的功能,那么一些包必须被安装,例如django-4.1.5-py3-none-any.whl。只有当有了正确的环境,开发者才能够快速地构建应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值