分享一批常见的信息泄露挖掘方法(第一部分)

admin 2025年5月1日01:23:05评论1 views字数 1069阅读3分33秒阅读模式
001 引言
要说咱们安全人员最喜欢的漏洞,我感觉非信息泄露漏洞莫属叭,扫描器扫扫就能扫出很多来,当然,信息泄露漏洞也是网络安全中常见的一种安全漏洞,根据泄露类型的不同,级别也不相同,但都可能导致敏感数据的非授权访问和暴露。
这篇公众号就是想给大家分享一些常见的信息泄露漏洞类型、它们的原理、危害、利用过程以及修复方法。
002 常见的信息泄露漏洞
1.身份证号泄露
漏洞危害:
根据泄露数量定级,一般1-100条低危
100条-1000条中危
1000条以上高危
身份证号泄露这也是一个很常见的地方,尤其是一些企业在公布新入职员工的时候,会在官网或者公众号上发布,如果安全意识不到位,就会泄露人员身份证号
举例
分享一批常见的信息泄露挖掘方法(第一部分)
像这个就是典型入职泄露的身份证号,由于hr安全意识不足导致的。这样的信息泄露可以算作一个漏洞。
2.目录浏览漏洞
目录浏览漏洞,也叫做目录遍历,主要是由于配置不当,当访问到某一目录中没有索引文件时即把当前目录中的所有文件及相关下层目录全部在页面中显示出来,通过该漏洞攻击者可获得服务器上的文件目录结构,从而下载敏感文件。
漏洞危害:
如果有非常敏感的信息则高危,没有敏感的信息则中危
漏洞举例
分享一批常见的信息泄露挖掘方法(第一部分)
这就是目录浏览漏洞
3.PHPInfo()信息泄漏
漏洞危害
中危
如果目标站点使用php框架的话,就可以扫描下目录
一般phpinfo信息的默认路径为
根目录:
/phpinfo.php/info.php/test.php/php.php
子目录
/admin/phpinfo.php/admin/info.php/tools/phpinfo.php/scripts/info.php
举例
分享一批常见的信息泄露挖掘方法(第一部分)
4.备份文件泄露
在渗透测试中,备份文件泄露也是一个常见的安全问题。这些备份文件可能包含源代码、配置信息、数据库连接信息等敏感数据。
漏洞级别:
包含敏感信息则为高危,不包含则为低危
一般扫描备份文件都有常见的路径
web根目录下的常见命名
/backup//backups//bak//db//data//tmp//temp/
也可使用DirBuster, OpenDoor, 御剑等工具进行探测。
举例
分享一批常见的信息泄露挖掘方法(第一部分)
5. robots.txt文件泄露
这个漏洞算是相对比较好挖掘的一个漏洞了,但是泄露的东西有可能会很严重。所以也不是不能大意
漏洞级别:低危
一般来说直接在域名后输入/robots.txt进行查看,如果有则证明存在
漏洞举例
分享一批常见的信息泄露挖掘方法(第一部分)
003 总结
这是给大家总结的第一部分,后续还会给出第二部分。如果大家喜欢的话,麻烦给本公众号点个关注哦~ 谢谢大家啦!

原文始发于微信公众号(LA安全实验室):分享一批常见的信息泄露挖掘方法(第一部分)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月1日01:23:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   分享一批常见的信息泄露挖掘方法(第一部分)https://cn-sec.com/archives/4020785.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息