pikachu靶场-敏感信息泄露

敏感信息泄漏简述
攻击方式
常见的攻击方式主要是扫描应用程序获取到敏感数据

漏洞原因
应用维护或者开发人员无意间上传敏感数据，如 github 文件泄露
敏感数据文件的权限设置错误，如网站目录下的数据库备份文件泄露
网络协议、算法本身的弱点，如 telent、ftp、md5 等

漏洞影响
应用程序、网站被修改
个人资料、公司资料泄露，被用于售卖获利

漏洞防护
对于 github 泄露，定期对仓库扫描
对于应用网站目录定期扫描
使用强壮的网络协议与算法

实施传输层安全性 (TLS) 以保护传输中的数据
尽可能避免存储敏感数据，或存储时间超过所需时间
加密所有需要存储的静态数据
通过 HTTP 严格传输安全 ( HSTS ) 或类似指令强制加密
不要缓存包含敏感数据的用户响应
对数据进行分类（处理、存储或传输）并根据分类应用控制
实施强大的标准算法、协议和密钥
使用哈希函数，例如 brcrypt、scrypt、Argon2、PBKDF2，这些函数总是对密码进行加盐和哈希处理

icanseeyourABC 

 根据提示，find abc，直接访问abc.php

成功登录

在登录界面查看源代码，发现测试账号

 

 lili/123456

也能成功登录