在页面中或者返回的响应包中泄露账户、口令、中间件信息、个人信息、健康信息、信用卡等信息
通过这些信息,给攻击者渗透提供了非常多的有用信息,扩大受攻击面。
1.前端注释部分避免泄露账户、口令、重要url等信息
2.删除或禁止访问泄露敏感信息页面(不影响业务)。
3.在服务器端输出数据进行严格校验,对相关敏感信息进行模糊化处理。
4.建议删除易泄露敏感信息页面,如探针或测试页面等
前端代码分析
注释存在测试账号信息
后端代码分析
登录成功之后账户口令写在cookie里面,口令使用仅使用md5加密
漏洞利用
找到测试lili/123456账号登录,且abc.php未校验状态即可访问