理论基础
-
隐私信息泄露介绍
隐私信息泄露是指在软件系统、网络交互、数据存储或传输过程中,由于安全控制不当导致的个人身份信息(如姓名、地址、身份证号码)、通信记录、财务信息等敏感数据的非授权访问或公开。这类泄露可能导致个人隐私被侵犯,甚至身份盗用、财产损失。
- 漏洞测试
- 未授权的API接口。
- 未脱敏的接口数据返回。
- 不安全的数据库。
- 部分信息未加密,明文存入数据库。
- 常见泄露信息
- 姓名+身份证
- 银行卡信息
- 手机号
- 工作地址/家庭地址
- 消费记录、财务流水
- 通讯记录
- ……
- 工具推荐
- JS信息挖掘:URLFinder
- 敏感信息匹配:Burp插件-HaE
- JS接口及敏感信息搜集:浏览器插件-FindSomething
-
防御建议
因为系统信息泄露漏洞可能的出现点过多,所以并无一个特定的修复方案,必须要针对不同情况及时调整防御方案,查缺补漏。
在防御敏感信息泄露时,下面几点可以进行参考:
- 确保敏感文件存放位置的安全性: 敏感文件应存放在非Web根目录或受限制的目录中,确保只有授权的用户或系统可以访问。
- 控制文件的访问权限: 通过正确的文件权限设置和访问控制列表(ACL),限制敏感文件的访问权限,确保只有授权用户可以访问。
- 定期清理不必要的文件**:** 删除不再需要的备份文件、临时文件和其他无用文件,以减少潜在的信息泄漏风险。
- 定期进行安全审计和漏洞扫描: 定期审查网站配置,进行安全审计和漏洞扫描,及时发现并修复可能存在的漏洞。
实践学习
漏洞环境以Pilot靶场为例:下载地址与部署教程
-
进入漏洞页面,发现此页展示了用户银行卡绑定信息,且对关键隐私信息进行了打码屏蔽:
-
抓包刷新页面,发现获取数据的接口,重放后发现接口并未对手机号和银行卡等信息打码:
-
因此可以分析,此处对隐私信息的打码位于客户端的JS代码中,只能起到掩耳盗铃的作用,无法保障隐私数据安全。