敏感信息泄露漏洞实战

最新推荐文章于 2024-06-18 10:28:47 发布
最新推荐文章于 2024-06-18 10:28:47 发布
阅读量4.3k 收藏 19
点赞数 3
文章标签: 信息安全 安全 java html css
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangshuangsss/article/details/113011828
版权

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。

比如:
        ---通过访问url下的目录,可以直接列出目录下的文件列表;
        ---输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;
         ---前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;

类似以上这些情况,我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击者实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。                      

实战

源码泄露

1.有一个登录框,没有用户名和密码

2.使用f12开发者管理工具查看源码。--挖漏洞的第一步永远都是查看源码,查看页面的处理逻辑,看到注释中有用户名密码信息泄露。

3.使用页面源码中的账号登录后,成功进入

4.越权看看http://192.168.2.6/pikachu-master/vul/infoleak/abc.php,退出登录直接访问url可以直接访问。

5.快速查找方法,可以使用burpsutie查看敏感信息,如搜索“123456”这个方法可以快速查看是否有敏感信息

往期内容

目录遍历漏洞挖掘,站点下有啥我都知道【得意】

BurpSuite进阶篇--自动化挖掘越权漏洞

RCE漏洞,黑客如何远程控制你的服务器

更多资讯长按二维码 关注我们

   专业的信息安全团队,给你最安全的保障。定期推送黑客知识和网络安全知识文章,让各位了解黑客的世界,学习黑客知识,普及安全知识,提高安全意识。

觉得不错点个“赞”呗      

TaibaiXX1
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
干货|敏感信息泄露
m0_61596829的博客
06-17 1448
Web安全--敏感信息泄露
敏感信息泄露
A182184的博客
12-20 300
portswigger靶场敏感信息泄露的一些实验,留下自己做的痕迹方便自己学习也希望能够帮助大家
CVE-2019-3394:[Confluence]敏感信息泄露漏洞
公众号shadow sock7
09-03 2076
这次没咋分析: https://mp.weixin.qq.com/s/puRrvfqWFVKvQ0hOoVs8lQ 写了一个poc: https://github.com/shadowsock5/Poc/tree/master/Confluence ,需要修改: url、用户名、密码、你自己的空间名 然后切换payload,改一下数字就行了。 最后confluence是加了一个过滤函数,判断...
SRC漏洞挖掘实战经验总结
10-28
最近几年总结收集的SRC漏洞挖掘实战经验,希望对你有帮助。
Web安全基础学习:敏感信息泄露漏洞之系统信息泄露
最新发布
qq_51862722的博客
06-18 921
系统信息泄露漏洞:指在软件系统、网络交互、数据存储或传输过程中,由于安全控制不当导致与系统配置、运行环境相关的信息被非授权访问或公开。这类信息通常包括服务器软件版本、操作系统类型、网络配置、数据库信息等。攻击者可以利用这些信息进行更精准的攻击,比如针对特定版本的软件利用已知漏洞
前端AES加密详解与源码
wzy_PROTEIN的博客
03-20 1057
前言:前端在一些数据获取或提交时有些敏感信息需要加密处理,比如最近遇到一个bug,是测试在登录时修改了用户的等级字段,从而就看到了其他用户权限下的页面。AES加密有两种模式:ECB模式和CBC模式,需要与后端约定好使用相同的模式。key为密钥,需要与后端约定一致,iv为密钥偏移量。key为密钥,需要与后端约定一致。首先,先引入js加密算法类库。
web敏感信息泄漏(36)
yyj1781572的博客
03-31 1822
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理,掌握常见的web信息泄漏漏洞的利用和漏洞防护。
JS敏感信息泄露:不容忽视的WEB漏洞
swordheart的博客
04-24 4978
0x00 前言 这段时间jsonp漏洞再一次证明了一个微小的漏洞,经过攻击者的巧妙而持久的利用,也会对企业和用户造成巨大的危害。而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。本文将通过一些公开和未公开的漏洞详细阐述此类漏洞。 0x01 漏洞成因 JavaScript作为一种相当简单但功能强大的客户端脚本语言,本质是一种解释型语言。所以,其执行原理是边解释边运行。上述特性就决定了JavaScript与一些服务
实战注入漏洞检测网站.rar
05-08
3. LDAP注入:在使用Lightweight Directory Access Protocol(LDAP)查询时,如果未正确过滤用户输入,可能导致攻击者操纵查询,泄露敏感信息,或者执行非法操作。 4. XML注入:在处理XML数据时,如果解析器没有...
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
如何在3个月发现 12 个内核信息泄露漏洞 沙箱内持久化.行之有效的沙箱攻击新思路 深度解析Weblogic_XMLDecoder反序列化 使用数据流敏感模糊测试发现漏洞 锁不住的安全 谈谈工业协议转换器的一些问题 ...
bWAPP漏洞测试环境.rar
04-06
- 逻辑错误:应用逻辑缺陷,可能导致敏感信息泄露或功能被滥用。 5. **学习和测试方法**: 学习bWAPP时,应先了解每个漏洞的原理,然后尝试利用bWAPP提供的示例来练习。你可以使用各种渗透测试工具,如Burp Suite...
SQL注入漏洞演示源代码
05-23
- 数据泄露:攻击者获取敏感信息,如用户密码、个人信息等。 - 数据篡改:攻击者可以修改数据库中的记录,影响系统正常运行。 - 数据删除:恶意SQL语句可能导致重要数据的丢失。 - 权限提升:攻击者可能获取...
从JS敏感信息泄露到GETSHELL
qq_50854662的博客
09-28 495
前言 小弟新手,大佬勿喷,文章有何不妥,还望大佬们斧正。 正文 前端时间打HW,拿到一个IP,先在FOFA上搜一下 发现这个IP现在开放了三个端口,分别是86,83,82对应不同的后台管理系统 先从86端口这个系统入手,界面如图 没有验证码!我喜欢,掏出我的大宝贝300万大字典对着admin就是一顿爆,然而现实是残酷的。。。 搞不到弱密码,随手查看了一下源代码,发现这里登录成功跳转index.html 直接URL输入xxx.xxx.xxx.xxx:86/index.
前端aes专用秘钥加解密_Javascript实现前端AES加密解密功能
weixin_30716641的博客
02-11 741
西安人才网掌握的HTML中的js前端AES加密最近因为项目需求做了一次MITM,俄然即便发现运用HTTPS,也不能确保数据传输过程中的安全性。经过中间人进犯,能够直接获取到Http协议的一切内容。 所以开端尝试做一些简略的加密,在一定程度上确保安全性。本次选用AES加密数据,所以客户端和效劳端运用的相同秘钥。(仅作为演示,正式环境引荐运用RSA)首要准备一份明文密码和加密运用的KEYvar sou...
挖洞实战信息泄露与前端加密
YJ_12340的博客
06-09 1100
本文并非密码向,不会对算法过程/代码逻辑进行具体阐述,因为这没有意义,实战的时候肯定是具体问题具体分析,所以了解个大致流程就行。
【web渗透思路】敏感信息泄露(网站+用户+服务器)
11-22 7843
【渗透思路】敏感信息泄露
关于.js文件敏感信息泄露
qq_38914940的博客
11-08 1554
js文件是一种脚本,可以控制页面达到一些动态效果(控制页面行为的)javascript(.js)文件存储客户端代码手动:查看源代码,在HTML中查找“.js”,新端点(路径/子域名)新参数隐藏的功能,在网络应用程序上不可用,但该功能的代码存在,仅限高级版?你可以与他进行非高级交互吗?(越权)api键开发人员评论(例如 // 这是一个开发评论或 /* 这是一个多行开发评论 */)有时可以包含诸如代码何时发布或发生的任何更新之类的信息(比如开发人员会注释关于 XSS 过滤,这有助于我了解他们如何修复它并绕过)。
前端AES加密,后端解密,有效防止数据外泄
hexianfan的博客
07-13 9399
/AES加密 var key = "ABCDEFGHIJKL_key";
网络信息安全敏感信息在传输、显示时如何加密和脱敏处理
热门推荐
wangpf2011的博客
01-25 1万+
客户端通过http协议获取系统重要敏感信息时,很容易造成敏感信息泄露。攻击者可以利用收集的重要敏感信息有针对性的制定计划对系统进行攻击。如何防护呢?首先应根据业务特点定义出系统存储的敏感信息,另外敏感信息在存储、传输、显示时应进行加密或脱敏处理。 1、敏感数据上传 客户端将敏感数据加密后上传至服务端,敏感信息Data采用对称加密算法进行加密传输,对称加密密钥Key采用非对称加密传输。具体步骤如下所示。 1)服务端生成有效密钥对,并将PublicKey返回给客户端。公私钥在一个会话周期内有效,若重新登录
2023网络安全面试宝典:Web渗透实战技巧与漏洞解析
- **敏感信息挖掘**:利用7KB、破壳等工具扫描源代码库,寻找未公开的代码和配置,同时利用社交工程手段收集额外信息。 3. **漏洞扫描**: - **自动扫描工具**:如AWVS、AppScan、Xray等,检测XSS、SQL注入、命令...
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值