信息泄漏漏洞/Web安全Day12 - 敏感信息泄露实战攻防_0基础信息安全记录贴

信息泄漏漏洞/Web安全Day12 - 敏感信息泄露实战攻防_0基础信息安全记录贴

声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

9.Web安全Day7 - 越权/非授权访问实战攻防:

10.Web安全Day8 - XXE实战攻防:

11.Web安全Day9 - 任意文件下载实战攻防:

12.Web安全Day10 - 反序列化实战攻防:

13.Web安全Day11 - 重放攻击实战攻防:

1. 漏洞简介

敏感数据包括但不限于：口令、密钥、证书、会话标识、、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。主要分为由版本管理软件导致的泄露, 文件包含导致的泄露和配置错误导致的泄露。

2. 漏洞原理

由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到。比如：

类似以上这些情况，我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞，但这些敏感信息往往给攻击者实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。因此,在web应用的开发上，除了要进行安全的代码编写，也需要注意对敏感信息的合理处理。

手工挖掘，根据web容器或者网页源代码的查看，找到敏感信息。

3. 漏洞危害

扫描内网开放服务 向内部任意主机的任意端口发送来攻击内网服务 DOS攻击（请求大文件，始终保持连接Keep-Alive ） 攻击内网的web应用，例如直接SQL注入、XSS攻击等 利用file、、dict协议读取本地文件、执行命令等 4. 测试方法

1、检测形式多样，工具爬虫扫描得到敏感文件的路径，从而找到敏感数据，主要是还是通过关键词爆破。

2、手工挖掘，根据web容器或者网页源代码的查看,，找到敏感信息。

软件敏感信息

操作系统版本

中间件的类型、版本

web程序（cms类型及版本、敏感信息）

Web敏感信息

网络信息泄露

DNS域传送漏洞 运维监控系统弱口令、网络拓扑泄露、弱口令、 sql注入等

第三方软件应用

*上源码、数据库、邮箱密码泄露

搜类似：smtp 163 关键字

*百度网盘被员工不小心上传敏感文件

*QQ群被员工不小心上传敏感文件

敏感信息搜集工具

5. 实战演示5.1 敏感文件泄露

URL=

之前在腾讯的图床站发现了腾讯的内网hosts文件暴露在公网上。

5.2 账号密码泄露

右键查看源代码发现测试账号

登陆成功

5.3 错误处理测试

不安全的错误处理方法可能泄露系统或应用的敏感信息，手工测试的过程中应留意各类错误信息，如果发现错误信息中包含系统或应用敏感信息，则进行记录。就和显错注入一样。

6. 漏洞修复

1、禁止在代码中存储敏感数据：禁止在代码中存储如数据库连接字符串、口令和密钥之类的敏感数据，这样容易导致泄密。用于加密密钥的密钥可以硬编码在代码中。

2、禁止密钥或帐号的口令以明文形式存储在数据库或者文件中：密钥或帐号的口令必须经过加密存储。例外情况，如果Web容器的配置文件中只能以明文方式配置连接数据库的用户名和口令，那么就不用强制遵循该规则，将该配置文件的属性改为只有属主可读写。

3、禁止在中以明文形式存储敏感数据：信息容易被窃取，尽量不要在中存储敏感数据；如果条件限制必须使用存储敏感信息时，必须先对敏感信息加密再存储到。

4、禁止在隐藏域中存放明文形式的敏感数据。

5、禁止用自己开发的加密算法，必须使用公开、安全的标准加密算法。

6、禁止在日志中记录明文的敏感数据：禁止在日志中记录明文的敏感数据(如口令、会话标识等)，防止敏感信息泄漏。

7、禁止带有敏感数据的Web页面缓存：带有敏感数据的Web页面都应该禁止缓存，以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。

8、应根据业务特点定义出系统存储的敏感信息。

9、敏感信息在存储、传输、显示时应进行安全处理，可采用的处理方式为加密或脱敏。

10、敏感信息不应使用GET方式提交到服务器。

11、用户密码为最高级别的敏感信息，在存储、传输、显示时都必须加密。

12、需要选择可靠的加密算法，优先选择不对称加密算法，不得使用等编码方式进行“加密”

13、对于一些系统默认报错页面应重新进行设计自定义报错页面，以免暴露系统敏感信息。

~

网络安全学习，我们一起交流

~