BurpWeb安全学院之敏感信息泄露

最新推荐文章于 2024-05-15 03:17:27 发布
最新推荐文章于 2024-05-15 03:17:27 发布
阅读量2k 收藏 10
点赞数 1
分类专栏: web漏洞 文章标签: 安全漏洞 安全 信息安全 云安全 企业安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45551083/article/details/107646572
版权

文章目录

这是burpsuite官网的免费优质实验.

实验室地址 https://portswigger.net/web-security/information-disclosure

仅为本人学习记录文章

简单介绍

信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容:

  • 有关其他用户私密数据的,财务信息,个人身份信息等
  • 敏感的商业数据
  • 有关网站技术细节,架构,如源代码等

这种泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻击者通过恶意的交互从网站获得数据.

一些敏感信息泄露的示例:

  • 通过robots.txt泄露网站隐藏目录,文件.或者站点结构
  • 网站站点的备份文件未删除导致的泄露,可能会泄露网站源代码
  • 没有正确处理网站的一些错误消息,在错误消息中泄露数据库表,字段等
  • 一些高度敏感的用户信息,银行账号等泄露
  • 在源代码中泄露数据库账号密码,等等(GitHub)
  • 网站某些程序的细微差别提示是否存在某些资源,用户名

敏感信息泄露的产生原因可大致归类如下几点:

  • 未删除公开内容中的敏感信息.(如开发人员的注释)
  • 网站不安全的配置(如,报错信息过于具体,网站开发时留下的调试网站功能)
  • 应用程序设计上的缺陷

如何防止信息泄露?

  • 网站开发人员要明确哪些信息是敏感信息

  • 针对错误消息正确处理

  • 检查网站开发环境中的任何调试或者诊断功能是否禁用

  • 了解站点所使用的第三方技术的配置设置与安全隐患.花时间禁用实际上不需要的任何功能和设置

下面将介绍一些关于敏感信息泄露挖掘的思路

爬虫文件

像robots.txt, sitemap.xml

这些文件会列出特定目录不让爬虫爬取,因为它们可能包含敏感信息

在burpsuite的sitemap里面可能看不到它们,需要手动测试一下,看是否存在有用的东西

目录信息泄露

有的网站因为不当的配置可能暴露了网站目录

(图片来源于网络)

可能泄露一些开发者不希望用户访问的文件

泄露敏感资源的存在与位置

注释或js文件

开发过程中,开发者可能在HTML中写有关敏感信息的注释.

部署到生成文件前,通常会删除.但是可能有时会因为有些人没有安全意识而忘记.

也有可能是js代码会保留一些敏感信息

实验:

在这个实验中,我们查看HTML源代码.发现下面的js代码

如果访问用户是管理员,将在页面上增加一个超链接 Admin panel 在. /admin-f6zfiz

如果不看源代码,通过目录爆破很难发现.

同时,该网站的访问控制也没有做好,我们可以轻松进入控制页面

删除Carlos用户

最低0.47元/天 解锁文章
lonmar~
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于漏洞"这个页面包含一个错误/警告信息,可能导致敏感信息泄露"
qq_40085888的博客
05-08 2366
公司开发的软件.在用软件扫描漏洞时,扫出了这么一个漏洞. 可以看出有漏洞的地方是登录页面.在登录中,主要逻辑如下: 一些拒绝登录是通过抛异常->然后捕获异常->获取异常信息->跳回到登录页面并展示错误信息. @RequstMapping("login") public String login(LoginForm loginForm){ try{ ...
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information)
Tianqi_Wukong的博客
01-20 584
【悟空云课堂】第二十六期:通过错误消息导致的信息暴露(CWE-209:Generation of Error Message Containing Sensitive Information) 什么是通过错误消息导致的信息暴露缺陷? 软件生成一条错误消息,其中包含有关其环境,用户或关联数据的敏感信息。 通过错误消息导致的信息暴露缺陷构成条件有哪些? 敏感信息本身可能是有价值的信息(例如密码),或者对于发起其他更严重的攻击可能很有用。该错误消息可能以不同的方式创建: 1、自生成的:源代码显式构造错误消息并将
BurpSuite之HaE插件配置文件
01-30
HaE是BurpSuite敏感信息标记插件,官方下载地址为: https://raw.githubusercontent.com/gh0stkey/HaE/gh-pages/Config.yml
敏感信息提取插件-Unexpected_information(二)
siu~
08-23 569
Unexpected information 是用于标记请求包中的一些敏感信息、JS接口和一些特殊字段的BurpSuite 插件。
敏感信息泄露漏洞_http敏感数据泄露
最新发布
2401_84972910的博客
05-15 1072
敏感信息(也称作敏感数据)是指由权威机构确定的必须受保护的信息。不当使用或未经授权被人接触或修改后,产生不利于国家和组织的负面影响和利益损失,或不利于个人依法享有的个人隐私的所有信息敏感信息根据其信息种类的不同,可大致分为个人敏感信息、商业敏感信息、国家的敏感信息
web-利用信息泄露】(10.1)利用错误消息
08-31 1333
【利用错误消息
网站安全渗透之敏感信息泄露、XSS跨站脚本、越权访问
03-02 609
网站渗透安全问题主要包括:敏感信息泄露、XSS漏洞攻击、越权访问、SQL注入、明文传输、后台泄漏漏洞、设计缺陷/逻辑错误、上传漏洞、CSRF跨站请求伪造
常见web漏洞(awvs、nessus)验证方法小记-中危漏洞
热门推荐
weixin_43875708的博客
03-12 1万+
1.【中危】不安全的Javascript库(Vulnerable Javascript library) 漏洞描述 SWFObject库 SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了...
工具推荐——几个Burp插件
浪飒sec
09-18 2257
三个java的Burp插件Unexpected information :是用于标记请求包中的一些敏感信息、JS接口和一些特殊字段的BurpSuite 插件FastJsonScan一个简单的Fastjson反序列化检测burp插件HackBar:你懂的获取方式:关注浪飒sec公众号回复cjPython类插件https://github.com/theLSA/burp-unauth-checkerhttps://github.com/sting8k/BurpSuite_403Bypasserhttps://g
如何用Burp的正则表达式快速找到敏感信息
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-21 1033
本文介绍了常见的用于匹配不同类型敏感信息的正则表达式,并探讨了如何根据具体情况自定义正则表达式。通过使用Burp的正则表达式,我们能够快速识别和定位到关键信息,提高渗透测试的效率和成功率。
常见安全漏洞及整改建议
weixin_30708329的博客
03-17 1807
引用:http://www.shangxueba.com/jingyan/1603262.html 1. HTML表单没有CSRF保护 1.1 问题描述: CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF攻击攻击者...
记录一次网站漏洞修复过程(一):安全报告
weixin_30917213的博客
10-26 765
XXXXX网站安全测试报告 1 测试目标和对象 1.1 测试目标 渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的测试经验,通过网络对系统进行非破坏性质的模拟黑客攻击,目的是深入挖掘漏洞风险、侵入系统并获取敏感信息,并将测试的过程和细节产生报告展现给用户。 1.2测试对象 序号 IP或域名 时间 测试方式 ...
BurpSuit官方实验室之信息泄露
tpaer的博客
11-15 751
这是BurpSuit官方的实验室靶场,以下将记录个人信息泄露共5个Lab的通关过程。
实战敏感信息泄露高危漏洞挖掘利用
chen_zhangkonzhe的博客
09-19 2347
信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等这次带领大家了解了信息泄露挖掘和实际利用,有喜欢的可以点个关注!我持续更新质量更好的文,后面持续更新在实战过程中挖掘漏洞技巧的专栏**声明:**本作者所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本作者不承担相应的后果。
PortSwigger Academy | Information disclosure vulnerabilities : 信息泄漏漏洞
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
01-27 1498
11111111111111
Day104:漏洞发现-漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
qq_61553520的博客
04-17 594
小迪安全-Day104:漏洞发现-漏扫项目篇&武装BURP&浏览器插件&信息收集&分析辅助&遥遥领先
BurpWeb安全学院之XXE
lonmar的博客
08-06 847
文章目录XXE漏洞如何产生利用XXE读取文件利用XXE执行SSRF攻击XXE盲注检测Burp Collaborator测试XXE盲注外部实体参数被过滤XXE盲注利用XXE报错注入利用本地DTD的XXE盲注 实验室链接https://portswigger.net/web-security XXE漏洞如何产生 一些应用程序使用XML格式在浏览器和服务器之间传输数据.而服务器端又没有对XML数据进行很好的检查,就可能产生XXE漏洞. 如: 某个网页可能传输如下的数据 如果稍加修改: 利用XXE读取文件 要执
Burp插件之BurpSuitFake
2301_80115097的博客
05-09 279
在最近的测试中发现一个问题某些高校在在登陆教务平台登陆的时候没有设置验证码而且重点是 他写的很清楚 密码是身份证后六位以下是我的一些思路和过程中解决的办法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值