一名脚本小子的进阶之路

【漏洞笔记】敏感文件

2019-11-23  本文已影响0人  TeamsSix

0x00 概述

漏洞名称:敏感文件

风险等级:低

问题类型:信息泄露

0x01 漏洞描述

由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。

Web应用程序显露了某些文件名称,此信息可以帮助攻击者对站点进一步的攻击。例如,知道文件名称之后,攻击者便可能获得它的内容,也许还能猜出其它的文件名或目录名,并尝试访问它们。

0x02 漏洞危害

攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等。

攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息。

攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。

攻击者可能通过文件名,也许还能猜出其它的文件名或目录名,并尝试访问它们。这些可能包含敏感信息。攻击者通过搜集信息,以便进一步攻击目标站点。

0x03 修复建议

对网站错误信息进行统一返回,模糊化处理;对存放敏感信息的文件进行加密并妥善储存,避免泄漏敏感信息。

修改复杂的文件名称;从站点中除去不需要的文件。

更多信息欢迎关注我的个人微信公众号:TeamsSix
原文地址:https://www.teamssix.com/year/191123-174558.html

参考文章:https://ninjia.gitbook.io/secskill/web/info

上一篇 下一篇

猜你喜欢

热点阅读