首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >业务逻辑漏洞探索之敏感信息泄露

业务逻辑漏洞探索之敏感信息泄露

作者头像
漏斗社区
发布2018-12-25 16:08:23
1.1K0
发布2018-12-25 16:08:23
举报
文章被收录于专栏:漏斗社区漏斗社区

本文中提供的例子均来自网络已公开测试的例子,仅供参考。

近期,万豪酒店被爆近5亿客人的信息或泄露。近年来,用户隐私泄露事件时有发生,也不得不给我们敲响警钟。

敏感信息时业务系统中的保密性要求较高的数据,通常包括系统敏感信息和引用敏感信息。系统敏感信息指的是业务系统本身的基础环境信息,比如系统信息,中间件版本之类的,一旦泄露可能可以协助攻击者提供更多的攻击途径和方法;应用敏感信息指的是应用中存储的重要业务数据,比如用户注册时提供的一些信息,身份证、姓名、电话号码等,泄露后可能会对应用的用户带来危害,比方说这次的万豪酒店敏感信息泄露事件。

我们可以分为以下几种场景进行测试:

1

敏感信息传输

在业务流程中,许多敏感信息需要从客户端提交到服务端,如果没有采取合理的加密措施,在提交到服务端的过程中可能被第三方截取,从而产生信息泄露风险。

举个栗子:

a).某系统修改密码的时候,发现通过JSON进行传输的过程中,可以看到明文的新旧密码。

2

敏感信息显示

通常情况下应用敏感信息在客户端显示时需要进行脱敏,密码等部分用户信息是不应该在客户端显示的,如果程序设计时在这部分没有进行很好的处理,就会产生敏感信息泄露漏洞。

举个栗子:

a). 某系统登录页面存在缺陷,导致敏感信息泄露。

b). 查看源代码,可看见登录密码。

c). 使用admin/gohigh1234可使用管理员权限登录,可查看各种信息。

3

客户端代码注释

客户端代码注释有可能泄露系统敏感信息,对一些核心代码进行技术注释也有可能会帮助攻击者解读代码,为攻击者提供便利,通常要求客户端代码不能包含注释,尤其是不能包含核心代码的技术注释。

举个栗子:

a). 某系统智能门禁管理系统存在逻辑漏洞导致上万用户敏感信息泄露。

b). 查看源代码发现有一段注释代码,发现存在用户名和登录密码及请求路径。

c). 登录后发现有大量的客户敏感信息,包含身份证、业主卡号等等。

4

错误处理测试

不安全的错误处理方法可能泄露系统或应用的敏感信息,手工测试的过程中应留意各类错误信息,如果发现错误信息中包含系统或应用敏感信息,则进行记录。

举个栗子:

某平台sqlserver没有对错误进行正确的处理,将详细的错误信息展示出来,暴露出数据库列名。

5

小总结

以上就是斗哥对于敏感信息泄露的一点小总结,越来越频发的用户信息泄露事件也让我们不得不反思,如何在大数据时代,保护我们的敏感信息。以下是斗哥对于敏感信息泄露防护的建议:

1.应根据业务特点定义出系统存储的敏感信息。

2.敏感信息在存储、传输、显示时应进行安全处理,可采用的处理方式为加密或脱敏。

3.敏感信息不应使用GET方式提交到服务器。

4.用户密码为最高级别的敏感信息,在存储、传输、显示时都必须加密。

5.需要选择可靠的加密算法,优先选择不对称加密算法,不得使用BASE64等编码方式进行“加密”

6.对于一些系统默认报错页面应重新进行设计自定义报错页面,以免暴露系统敏感信息。

本文参与 腾讯云自媒体分享计划,分享自微信公众号。
原始发表:2018-12-07,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 漏斗社区 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体分享计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
消息队列 TDMQ
消息队列 TDMQ (Tencent Distributed Message Queue)是腾讯基于 Apache Pulsar 自研的一个云原生消息中间件系列,其中包含兼容Pulsar、RabbitMQ、RocketMQ 等协议的消息队列子产品,得益于其底层计算与存储分离的架构,TDMQ 具备良好的弹性伸缩以及故障恢复能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档