pikachu靶场-敏感信息泄露

敏感信息泄漏简述
攻击方式
常见的攻击方式主要是扫描应用程序获取到敏感数据

漏洞原因
应用维护或者开发人员无意间上传敏感数据,如 github 文件泄露
敏感数据文件的权限设置错误,如网站目录下的数据库备份文件泄露
网络协议、算法本身的弱点,如 telent、ftp、md5 等

漏洞影响
应用程序、网站被修改
个人资料、公司资料泄露,被用于售卖获利

漏洞防护
对于 github 泄露,定期对仓库扫描
对于应用网站目录定期扫描
使用强壮的网络协议与算法

实施传输层安全性 (TLS) 以保护传输中的数据
尽可能避免存储敏感数据,或存储时间超过所需时间
加密所有需要存储的静态数据
通过 HTTP 严格传输安全 ( HSTS ) 或类似指令强制加密
不要缓存包含敏感数据的用户响应
对数据进行分类(处理、存储或传输)并根据分类应用控制
实施强大的标准算法、协议和密钥
使用哈希函数,例如 brcrypt、scrypt、Argon2、PBKDF2,这些函数总是对密码进行加盐和哈希处理

pikachu靶场-敏感信息泄露_第1张图片

icanseeyourABC 

pikachu靶场-敏感信息泄露_第2张图片

 根据提示,find abc,直接访问abc.php

pikachu靶场-敏感信息泄露_第3张图片

成功登录

在登录界面查看源代码,发现测试账号

pikachu靶场-敏感信息泄露_第4张图片 

 lili/123456

pikachu靶场-敏感信息泄露_第5张图片

也能成功登录 

你可能感兴趣的:(pikachu,网络安全,安全,web安全,网络安全)