敏感信息泄露学习

敏感信息泄露

由于后台人员的疏忽或者设计不当,导致不应该被前端用户看到的数据被轻易地访问到。
如:

1、通过访问 url 下的目录,可以直接列出目录下的文件列表;
2、输入错误的 url 参数后报错信息里面包含操作信息、中间件、开发语言的版本或其他信息;
3、前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等。

像这些情况,就是敏感信息泄露。
敏感信息被认为是危险较低的漏洞,但这些敏感信息往往给攻击者实施进一步攻击提供了很大的帮助。

下面通过 pikachu 靶场里的敏感信息泄露模块对敏感信息泄露进行测试。

打开页面,是一个登录界面。
敏感信息泄露学习_第1张图片
点击提示上面没有账号密码的信息。
不过前面做过很多模块登录过很多账号,可以拿过来试一试。有admin、pikachu、lucy、lily、vince、kobe等。
然后试出来账号kobe 是可以登录的。
登录进去之后可以看到,在 url 上可以看出来是访问了 abc.php 这个文件,这里就体现出了题目的 find abc 的意思。
敏感信息泄露学习_第2张图片
另外,按F12 查看源代码也有提示给出了测试账号 lili/123456 可以登录进去。
敏感信息泄露学习_第3张图片
既然知道了登录进去就是访问 abc.php 这个文件,那就可以在未登录的状态直接修改url 访问那个文件了。达到这个文件信息的泄露。

你可能感兴趣的:(知识点学习,靶场测试,敏感信息泄露)