目錄
- 漏洞描述
- 檢測方法
- 項目案例
- 防範措施
漏洞描述
由于管理者或者技術人員等各種原因導緻敏感資訊洩露。許多web應用程式和api都無法正確定護敏感資料,攻擊者可以通過竊取或修改未改加密的資料來實施信用卡詐騙、身份盜竊或其他犯罪行為。未加密的敏感資料容易受到破壞,是以,我們需要對敏感資料加密,這些資料包括:傳輸過程中的資料、存儲的資料以及浏覽器的互動資料。
檢測方法
1、 手工挖掘,檢視web容器或網頁源碼代碼,可能存在敏感資訊。比如通路url下的目錄,直接列出了目錄下的檔案清單,錯誤的報錯資訊包含了網站的資訊。
2、 工具挖掘,像爬蟲之類的工具可以掃描到敏感檔案路徑,進而找到敏感資料。
項目案例
在pikachu這個靶場裡就有這個敏感資訊洩露。
在前端代碼中洩露了一個賬号資訊
在cookie裡面還洩露了密碼資訊
防範措施
1、 對系統處理、存儲或傳輸的資料進行分類,根據分類進行通路控制。
2、 對使用者敏感資訊的傳輸和存儲進行加密
3、 強化安全意識