要说咱们安全人员最喜欢的漏洞,我感觉非信息泄露漏洞莫属叭,扫描器扫扫就能扫出很多来,当然,信息泄露漏洞也是网络安全中常见的一种安全漏洞,根据泄露类型的不同,级别也不相同,但都可能导致敏感数据的非授权访问和暴露。
这篇公众号就是想给大家分享一些常见的信息泄露漏洞类型、它们的原理、危害、利用过程以及修复方法。
身份证号泄露这也是一个很常见的地方,尤其是一些企业在公布新入职员工的时候,会在官网或者公众号上发布,如果安全意识不到位,就会泄露人员身份证号
像这个就是典型入职泄露的身份证号,由于hr安全意识不足导致的。这样的信息泄露可以算作一个漏洞。
目录浏览漏洞,也叫做目录遍历,主要是由于配置不当,当访问到某一目录中没有索引文件时即把当前目录中的所有文件及相关下层目录全部在页面中显示出来,通过该漏洞攻击者可获得服务器上的文件目录结构,从而下载敏感文件。
/phpinfo.php
/info.php
/test.php
/php.php
/admin/phpinfo.php
/admin/info.php
/tools/phpinfo.php
/scripts/info.php
在渗透测试中,备份文件泄露也是一个常见的安全问题。这些备份文件可能包含源代码、配置信息、数据库连接信息等敏感数据。
/backup/
/backups/
/bak/
/db/
/data/
/tmp/
/temp/
也可使用DirBuster, OpenDoor, 御剑等工具进行探测。
这个漏洞算是相对比较好挖掘的一个漏洞了,但是泄露的东西有可能会很严重。所以也不是不能大意
一般来说直接在域名后输入/robots.txt进行查看,如果有则证明存在
这是给大家总结的第一部分,后续还会给出第二部分。如果大家喜欢的话,麻烦给本公众号点个关注哦~ 谢谢大家啦!
原文始发于微信公众号(LA安全实验室):分享一批常见的信息泄露挖掘方法(第一部分)
评论