信息泄漏漏洞

最新推荐文章于 2024-06-18 10:34:08 发布
最新推荐文章于 2024-06-18 10:34:08 发布
阅读量2.4k 收藏 4
点赞数 3
分类专栏: Web安全 文章标签: 服务器 运维 信息安全 网络安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46318141/article/details/121091531
版权

目录

0x00 前言

0x01 信息泄漏原理

0x02 信息泄漏举例

1、访问/robots.txt或/sitemap.xml文件

2、网站错误访问时报错界面信息泄漏

3、目录遍历可访问URL

4、Google语法收集泄漏信息

5、社会工程学信息泄漏

0x03 信息泄漏防护

0x04 后记

0x05 友情链接

0x00 前言

        信息泄漏涵括的内容很广泛,简单来说就是网站无意间向网民泄漏的敏感信息。比如其他用户的个人数据(手机号、身份证号、银行卡号、家庭地址……),网站基础架构的技术与细节等等。其中最常见的,便是攻击者通过恶意方式与网站交互,从而引发信息泄漏问题,再进一步的配合其他技术,导致网站被侵入,造成不可估量的后果。

0x01 信息泄漏原理

        由于后台管理人员/网站设计者的疏忽或者不当的设计,导致原本不可见的数据资源被用户轻易获取。

0x02 信息泄漏举例

1、访问/robots.txt或/sitemap.xml文件

        网站中存在Robots协议,能够保护网站数据和敏感信息不暴露。比如,通过robots.txt文件限制网络爬虫爬取范围。当robots.txt文件内容过于详细,则导致网站的敏感目录文件泄漏,如后台,让我们更容易的知道了网站的某些可利用信息。

2、网站错误访问时报错界面信息泄漏

        在一些错误或非法输入下,服务器将产生302、400、404、500等错误界面,当错误界面中的错误信息过于详细,如包含服务器代码信息、数据库连接信息、敏感文件路径或者网站模板信息等等。

3、目录遍历可访问URL

        通过目录遍历获取存在的站点,访问这些站点的同时,可能得到泄漏的日志文件、历史残留文件和缓存文件等;通过审计前端代码/请求包/响应包都是可以查看一些可利用信息,例如一些开发人员写的注释中就可能泄漏了后台URL或测试的账号密码、图片链接中暴露的绝对路径、响应包中携带的验证码等等。

4、Google语法收集泄漏信息

        Googel语法是安全从业者最基础且必学的内容,当我们不知道一个站点的初始密码时,Google语法就能够很好的帮助我们了。除此之外,还有一些常用的语法,具体意思不写,可以自己试着使用下,可以联系笔者探讨。

        常用语法举例:

                ①site:URL index of

                ②site:URL inurl:admin/login

                ③site:URL filetype:pdf/doc/xls/txt

                ④site:URL filetype:xls 身份证 | 手机号 | 银行卡号

                ⑤site:URL intext:管理|后台|用户名|密码|系统|账号

5、社会工程学信息泄漏

        每当开学季,总会有许多的QQ群被创建,假设我们这个时候进去,偷偷的浏览一下群文件,发现了一个“XXX到校名单.xls”,这是不是就有信息泄漏了,后面的对该高校的渗透不就有了前提吗?

        其他网站,如GitHub中检索网站源代码、漏洞库中查找信息泄漏Nday,接上老前辈的钻石镐继续挥动……

0x03 信息泄漏防护

        1、开发工作者优化代码,网站管理员升级网站。

        2、提高个人信息安全意识,Q群中使用显示在线文档,且不上传群空间等。

        3、高校公开信息中,减少学号、身份证号和联系方式的同时出现,减少信息直接的泄漏。

        4、网站开发文档仅提供网站使用者查阅,减少流入网络的可能。

0x04 后记

        没有网络安全就没有国家安全,而个人信息安全构成网络安全。请注意个人隐私,勿让你的信息流落在外。--涂寐

0x05 友情链接

涂寐
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务端安全之信息泄露
好记性不如烂笔头
10-14 1591
这一章我们介绍信息泄露漏洞,并描述如何寻找漏洞和利用漏洞。 1. 什么是信息泄露? 2. 信息泄露是如何发生的? 信息泄露漏洞可以出现在各种各样的场景中,大致可以归纳为以下几种: (1)未能从公开内容中移除内部信息 例如,开发人员添加的注释信息可以在公开内容中看到,这对攻击者理解业务逻辑非常有帮助。 (2)网站不安全的配置信息 例如,忘记关闭调试功能,将会为攻击者提供有用的工具,用于获取敏感信息。即便是默认的配置也依然存在问题,譬如会提供冗余的错误信息。 (3)应用中存在有缺陷的设计 例如,在不同错误发生
信息泄露漏洞
cxrpty的博客
03-04 6122
信息泄露主要包括:敏感路径、服务器、中间件、框架版本等 实验环境:ubuntu 实验原理: 配置存放不当,导致web系统备份,数据库备份 用户数据文件,暴露在web系统上,引发信息泄露 实验内容: 一、目录遍历漏洞 原理:index文件是web应用程序的默认入口文件被称为索引文件。访问web应用程序时如果没有 指定某个文件,web应用程序就会调用索引文件。根据web开发脚本...
利用sitemap提交漏洞劫持其它网站排名
laishaohe的博客
04-12 1507
我个人虽然不建议做黑帽SEO,但了解一些黑帽技术是白帽SEO的必修课。SEO黑帽的常见技术和最新应用至少可以让我们:  • 在不能失误的正规网站上避免黑帽的坑• 多渠道、深入理解搜索引擎的工作原理• 帮助了解搜索排名算法的极限在哪里• 从聪明的黑帽SEO技巧中发展白帽技巧对国内黑帽SEO应用广泛的赌博、色情等网站和排名也做过一些研究,与相关公司也有些接触,对这个行业的利润之大、团队规模之大、探索及...
搜狗sitemap漏洞,搜狗没有sitemap权限也能提交sitemap地址!
a757571354的博客
10-09 2477
登录过搜狗站长平台都知道,搜狗站长平台改版了之后,也推出了一些工具。 细心的朋友在搜狗学院里应该有注意到sitemap链接提交,但搜狗的Sitemap采用邀请制,也就是并不是所有的网站都可以使用sitemap权限。对于一些想做搜狗排名的朋友来说,没有sitemap提交方式,肯定会少很多收录和流量的机会。 图1 搜狗没有sitemap权限怎么提交sitemap地址 那么有没有办法做到没有s...
Web安全基础学习:敏感信息泄露漏洞之隐私信息泄露
最新发布
qq_51862722的博客
06-18 485
隐私信息泄露漏洞:指在软件系统、网络交互、数据存储或传输过程中,由于安全控制不当导致的个人身份信息(如姓名、地址、身份证号码)、通信记录、财务信息等敏感数据的非授权访问或公开。这类泄露可能导致个人隐私被侵犯,甚至身份盗用、财产损失。
Web应用安全—信息泄露
xnxqwzy的博客
02-27 821
从书本和网上了解到Web应用安全的信息泄露的知识,今天跟大家分享点。漏洞描述:搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如网站后台路径,从而得知其使用的系统类型,从而有针对性地进行利用。测试方法:1、检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到robots文件;2、手工挖
web渗透思路】敏感信息泄露(网站+用户+服务器
11-22 8162
【渗透思路】敏感信息泄露
thinkphp增加sitemap.txt百度站点地图 txt格式示例PHP代码
06-05 466
在后台发布产品或文章时,自动更新站点地图.因为更新频繁,所以设置了数量。
MS11-049:Microsoft XML Editor 信息泄露漏洞(2543893)(CVE-2011-1280)
02-09
远程主机上的应用程序存在信息泄露漏洞。当解析特别构建的 Web Service Discovery (.disco) 文件时,外部 XML 实体可接受不受信任的用户输入。远程攻击者可通过诱骗用户打开特别构建的 .disco 文件来利用此问题,...
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Apache CouchDB信息泄露漏洞(CVE-2023-26268)通告
05-05
Apache CouchDB 信息泄露漏洞(CVE-2023-26268)通告 Apache CouchDB 是一个开源的 NoSQL 文档数据库,以基于 JSON 的文档格式收集和存储数据,提供了高可用性和高可靠性。近日,深信服安全团队监测到 Apache ...
渗透测试之目录扫描
hmysn的博客
05-16 4954
什么是目录扫描: 在我们部署了网站之后有很多的敏感文件,比如说配置文件(.cfg)、数据文件(.sql)、目录文件(/backup /conf /admin)。但是有些网站如果配置出现问题,就会被攻击者攻击。 这些配置的问题会导致数据库用户名和密码 、服务器的用户名和密码 、数据库的文件、网站源码等等信息都会被 入侵。如果黑客获得了相应文件后,就能对网站进行进一步的攻击! 目录为什么会泄漏: 1、配置问题。 2、本地文件包含问题。 比如在一个php文件中,我们经常会有一些公共的文件,在其他的代码文件
php 生成网站地图txt
从兄的博客
08-25 675
根据SEO需要生成站点地图有利于百度爬虫收录,后台需要生成sitemap.txt 文件,内容是站点链接,效果如图。开始后台管理模版,页面比较粗糙。
漏洞利用】信息泄露漏洞详解
weixin_44023442的博客
01-24 8617
参考文章 BurpWeb安全学院之敏感信息泄露 信息泄露漏洞 网络安全web 信息泄露小概 Tag: #信息泄露 Ref:[[002.js信息泄露]] [[002.信息收集/009.信息泄露/001.信息泄露]] 本文仅供交流学习使用! 概述 总结 一、漏洞介绍 信息泄露指网站无意向用户泄露敏感信息.可能包括以下内容: 有关其他用户私密数据的,财务信息,个人身份信息等 敏感的商业数据 有关网站技术细节,架构,如源代码等 二、漏洞原理 信息泄露可能是不慎泄露给浏览该网站信息用户的,也有可能是攻
2024年HarmonyOS鸿蒙最新Burp Suite应用分享之Web漏洞扫描_burpsuite扫描端口(2),2024年最新阿里技术岗面试
2401_84862359的博客
05-09 280
可见,所有通过百度的数据包都已经被截获了,而且在截获的过程中爬行了相关域名下路径,可以再截获数据包的时候进行改包和发送,forward或者drop,这个就先不说了,此次重点是扫描,点击scanner可以看到下面有四个选项,结果,扫描队列,存活的扫描线程和选项。效果还算不错,功能也多。好了基本上这块就差不多了,关于数据包截取改包,暴力破解,下次再说,在做这个的时候其实已经把网站爬行的地方演示了,但是这一个小小的JAVA程序,却还有很多其他的功能,下次有空在发出来给大家分享。
destoon7.0添加sitemap.txt地图功能
积善之家
02-09 1337
为了百度seo需要,看百度站长平台可以提交sitemap.txt地图,顺便加了这个功能,供广大爱好者学习参考。 首先找到:/module/extend/admin/template/setting.tpl.php <td><?php echo timetodate(filemtime(DT_ROOT.'/sitemaps.xml'));?> &...
sitemap.xml
05-25
sitemap.xml 是一个 XML 文件,用于告诉搜索引擎网站上有哪些页面和它们的 URL。它是搜索引擎优化 (SEO) 的一个重要组成部分,因为它可以帮助搜索引擎更好地了解您的网站结构,从而更好地为您的站点进行排名。 在 sitemap.xml 文件中,您可以列出每个页面的 URL、最后修改时间、页面更改的频率和优先级。这些信息可以帮助搜索引擎更好地了解您的网站,并确定哪些页面是最重要的。 一般来说,您需要将 sitemap.xml 文件放置在您的网站根目录下。如果您使用的是 WordPress 等 CMS,通常可以使用插件来自动生成 sitemap.xml 文件。您可以通过搜索引擎控制台提交 sitemap.xml 文件,以便搜索引擎更好地了解您的网站。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值