这是burpsuite官网的免费优质实验.
实验室地址 https://portswigger.net/web-security/information-disclosure
仅为本人学习记录文章
简单介绍
信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容:
- 有关其他用户私密数据的,财务信息,个人身份信息等
- 敏感的商业数据
- 有关网站技术细节,架构,如源代码等
这种泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻击者通过恶意的交互从网站获得数据.
一些敏感信息泄露的示例:
- 通过robots.txt泄露网站隐藏目录,文件.或者站点结构
- 网站站点的备份文件未删除导致的泄露,可能会泄露网站源代码
- 没有正确处理网站的一些错误消息,在错误消息中泄露数据库表,字段等
- 一些高度敏感的用户信息,银行账号等泄露
- 在源代码中泄露数据库账号密码,等等(GitHub)
- 网站某些程序的细微差别提示是否存在某些资源,用户名
敏感信息泄露的产生原因可大致归类如下几点:
- 未删除公开内容中的敏感信息.(如开发人员的注释)
- 网站不安全的配置(如,报错信息过于具体,网站开发时留下的调试网站功能)
- 应用程序设计上的缺陷
如何防止信息泄露?
-
网站开发人员要明确哪些信息是敏感信息
-
针对错误消息正确处理
-
检查网站开发环境中的任何调试或者诊断功能是否禁用
-
了解站点所使用的第三方技术的配置设置与安全隐患.花时间禁用实际上不需要的任何功能和设置
下面将介绍一些关于敏感信息泄露挖掘的思路
爬虫文件
像robots.txt, sitemap.xml
这些文件会列出特定目录不让爬虫爬取,因为它们可能包含敏感信息
在burpsuite的sitemap里面可能看不到它们,需要手动测试一下,看是否存在有用的东西
目录信息泄露
有的网站因为不当的配置可能暴露了网站目录
(图片来源于网络)
可能泄露一些开发者不希望用户访问的文件
泄露敏感资源的存在与位置
注释或js文件
开发过程中,开发者可能在HTML中写有关敏感信息的注释.
部署到生成文件前,通常会删除.但是可能有时会因为有些人没有安全意识而忘记.
也有可能是js代码会保留一些敏感信息
实验:
在这个实验中,我们查看HTML源代码.发现下面的js代码
如果访问用户是管理员,将在页面上增加一个超链接 Admin panel 在. /admin-f6zfiz
如果不看源代码,通过目录爆破很难发现.
同时,该网站的访问控制也没有做好,我们可以轻松进入控制页面
删除Carlos用户