Web中常见的敏感信息
web页面中暴露敏感信息是安全的一个减分项,因为从一些敏感信息可以增加网页攻击的风险。
敏感信息的分类:
个人信息、系统版本信息、系统认证信息、设备标识信息等
- 个人信息
常见的个人信息有:身份信息、生物识别信息、财产信息、健康生理信息、网络身份标识信息,以及电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等; - 系统版本信息
系统用到的中间件及其他三方件的版本号,以及数据库的版本信息等; - 系统认证信息
登录时的口令、session、token、cookie及其他认证信息; - 设备标识信息
手机的IMEI、电脑的mac地址、其他机柜的一些全网唯一标识类等;
泄露场景:
日志记录,历史命令回显,操作记录,中间临时文件,页面显示,安装包,数据库,不安全加密算法,不安全传输通道等