敏感信息泄露漏洞

法律声明

参与培训需要遵守国家法律法规，相关知识只做技术研究，请勿用于违法用途，造成任何后果自负与本人无关。
中华人民共和国网络安全法（2017年6月1日起施行）
第二十二条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法；不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
第三十八条 任何个人和组织不得窃取或者以其他非法方式获取公民个人信息，不得出售或者非法向他人提供公民个人信息。
第六十三条 违反本法规定，给他人造成损害的，依法承担民事责任。
第六十四条 违反本法规定，构成犯罪的，依法追究刑事责任。
中华人民共和国刑法（285.286）
第二百八十五条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
第二百八十六条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。
中华人民共和国刑法修正案7（第九条）
在刑法第二百八十五条中增加两款作为第二款、第三款：“违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。
“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。
中华人民共和国反间谍法（2023.7月1号起施行）
第四条 本法所称间谍行为，是指下列行为：
（一）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施的危害中华人民共和国国家安全的活动；
（二）参加间谍组织或者接受间谍组织及其代理人的任务，或者投靠间谍组织及其代理人；
（三）间谍组织及其代理人以外的其他境外机构、组织、个人实施或者指使、资助他人实施，或者境内机构、组织、个人与其相勾结实施的窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品，或者策动、引诱、胁迫、收买国家工作人员叛变的活动；
四）间谍组织及其代理人实施或者指使、资助他人实施，或者境内外机构、组织、个人与其相勾结实施针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动；
第三十六条 国家安全机关发现涉及间谍行为的网络信息内容或者网络攻击等风险，应当依照《中华人民共和国网络安全法》规定的职责分工，及时通报有关部门，由其依法处置或者责令电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施，保存相关记录。情况紧急，不立即采取措施将对国家安全造成严重危害的，由国家安全机关责令有关单位修复漏洞、停止相关传输、暂停相关服务，并通报有关部门。

漏洞简介

1. 敏感信息（也称作敏感数据）是指由权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后，会产生不利于国家和组织的负面影响和利益损失，或不利于个人依法享有的个人隐私的所有信息。敏感信息根据其信息种类的不同，可大致分为个人敏感信息、商业敏感信息、国家的敏感信息。
2. **敏感信息包括但不限于：**账号、密码、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（姓名、住址、电话、***号码）、程序文件、配置文件、日志文件、备份文件及数据库、网站物理地址、phpinfo信息、代码、服务器端口、banner信息、中间件信息、版本号、框架、CMS、物理地址、本页代码、数据库配置文件代码等等。

产生原因

1. 由于后台人员的疏忽或设计不当，导致不应该被前端用户看到的数据被轻易访问到；
2. 发布时未能从公共内容中删除内部内容；
3. 网站和相关技术的不安全配置。例如，未能禁用调试和诊断功能，有时可以为攻击者提供有用的工具来帮助他们获取敏感信息。默认配置也可能使网站遭到攻击。
4. 应用程序的设计和行为有缺陷。例如，如果某网站在发生不同的错误状态时返回不同的响应，攻击者可据此枚举敏感数据。

漏洞危害

1. 泄漏个人信息： 当个人信息泄露时，攻击者可能获取用户的身份证号码、银行账号、密码等敏感数据，进而进行身份盗窃、恶意购物、虚假贷款申请等欺诈行为，给用户带来财务损失和信用受损的风险。此外，个人信息的泄露也可能导致用户遭受电信诈骗，如伪装成合法机构进行钓鱼攻击或社交工程攻击，诱使用户泄露更多敏感信息或转账给攻击者。
2. 泄漏网站备份文件： 当网站的备份文件泄露时，攻击者可能获取到网站的配置文件、敏感数据存储位置和访问凭证等信息。这意味着攻击者可以获得对网站的完全或部分控制权，进而进行恶意篡改、删除或添加恶意代码，破坏网站的正常运行、导致数据丢失、影响用户访问或利用网站进行其他不法行为。此外，泄露的备份文件也可能包含用户的个人信息或登录凭证等，增加用户隐私数据泄露和账号被入侵的风险。

检测方法

1. 手动审计：通过手动审计系统和应用程序的代码或配置文件，发现可能存在的敏感信息泄霞漏洞。这通常需要具有较高技术水平的安全专家来进行审计。
2. 自动化工具：使用信息泄露漏洞扫描工具，如OpenVAS、Nessus、OWASP ZAP等，对系统进行自动化扫描，检测是否存在潜在的信息泄露漏洞。
3. 参数化测试：在系统中通过不同的输入参数测试接口和功能，以查找可能导致信息泄露的漏洞点。这包括对输入字段、URL参数、HTTP头等的测试。
4. 数据流分析：对系统中的数据流进行跟踪和分析，识别可能存在的数据泄露路径，以及潜在的漏洞点。
5. 代码审计：对系统或应用程序的源代码进行审计，发现可能存在的敏感信息泄霞漏洞。（需要对代码进行深入分析和理解）

利用工具

• burpsuite、dirsearch、nmap、Wappalyzer、Arl。。。。。。

实验分析

账户密码泄露

1. 开局一个登录框，账户密码全靠猜。

2. 渗透第一步查看源码，查看页面的处理逻辑，通过查看源码发现里面存在账户密码的信息泄露。

3. 使用源码中泄露的账户密码成功进入。

漏洞修复

1. 加强网络安全：确保网络设备和系统的安全性，及时更新安全补丁，加强防火墙、入侵检测系统等安全措施，防止黑客入侵和数据泄露。
2. 数据加密：对敏感信息进行加密存储和传输，确保数据在传输和存储过程中不易被窃取或篡改。
3. 访问控制：建立严格的访问权限控制机制，限制用户对敏感信息的访问权限，确保只有授权人员可以查看或处理敏感信息。
4. 安全审计：定期对系统和数据进行安全审计，及时发现和修复漏洞，防止敏感信息泄露的风险。
5. 员工培训：加强员工信息安全意识培训，教育员工如何正确处理和保护敏感信息，避免因员工疏忽导致信息泄露。
6. 数据备份：定期对敏感信息进行备份，并将备份数据存储在安全的地方，以防止数据丢失或被篡改。
7. 定期漏洞扫描：定期进行系统漏洞扫描和安全评估，及时发现并修复存在的安全漏洞，降低信息泄露风险。