敏感信息泄露 漏洞描述 由于管理员或者技术人员等各种原因导致敏感信息泄露。许多web应用程序和api都无法正确保护敏感数据,攻击者可以通过窃取或修改未改加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、存储的数据以及浏览器的交互数据。 检测方法 1、 手工挖掘,查看web容器或网页源码代码,可能存在敏感信息。比如访问url下的目录,直接列出了目录下的文件列表,错误的报错信息包含了网站的信息。 2、 工具挖掘,像爬虫之类的工具可以扫描到敏感文件路径,从而找到敏感数据。 项目案例 在前端代码中泄露了一个账号信息 在cookie里面还泄露了密码信息 防范措施 1、 对系统处理、存储或传输的数据进行分类,根据分类进行访问控制。 2、 对用户敏感信息的传输和存储进行加密 3、 强化安全意识