专栏首页卓文见识信息泄露(Information Exposure)挖掘及实战案例全汇总

信息泄露(Information Exposure)挖掘及实战案例全汇总

1、漏洞理解

信息泄露(InformationExposure)漏洞是有意或无意地向未明确授权访问该信息的行为者披露信息。信息泄露是最为常见和普遍的漏洞之一,漏洞出现的位置、造成的危害有很大的差异性,以下列出的是Acunetix在扫描时列为范围内的漏洞,同一漏洞评级差距极大。

实际的测试过程中,信息泄露有时作为一种“手段”,有时作为一种“结果“,不一而论。

2、漏洞类型

场景上可分为业务层敏感数据和系统层数据:

1)业务层数据包括:密码、信用卡、证书、社会保障号码、健康信息、个人身份信息及其他业务层面的数据。

2)系统层数据包括:版本号、源代码、文件名/路径、系统文件、报错信息等

信息处理上可分为信息存储和传输:

1) 存储的数据:主要讨论的攻击方式,在数据到达终端时获取的数据;

2) 传输的数据:主要的攻击方式是中间人攻击方式“MITM”,涉及协 议、加密、证书等。

3、实战案例:

1)XSS窃取token

补充一个css注入的案例:

https://chaturbate.com/embed/admin/?bgcolor=%7D*%7Bbackground:red&tour=nvfS&disable_sound=0&campaign=iNSGX触发点在bgcolor处,可插入css:

从而可通过注入css实现xss窃取csrf token。

2)Referer泄露token

如,在论坛回复处通过包含<img>标签,向攻击者的服务器发送请求,用户一旦访问将泄露Oauth token。或存在跳转链接,可将令牌泄露给第三方站点(通过Referer泄露token是一个经典问题,通常在密码重置等功能处)。

3)硬编码:

白盒测试中的典型问题,如代码中将用户名口令硬编码:

private static final java.lang.String CONFIG ="cloudinary://434762629765715:xxx@reverb";

可登录系统查看敏感信息:

在第三方代码托管网站(GitHub)或配置文件、源码中常存在此类问题。

4)IDOR($7560)

https://vine.co/api/users/profiles/<UserId>端点处泄露IP地址/电话号码/电子邮件等,通过修改id可查看任意用户数据:

IDOR应该算是用户敏感信息泄露的最常见的漏洞。

5)Web Cache Deception Attack

使用CDN、反向代理、负载均衡的环境可以尝试缓存欺骗:

6)源代码泄露

补充一个文件包含案例,调用文件名处未作校验,导致读取配置文件及源码。典型的文件包含功能:

修改文件名,跨目录读取配置文件:

成功读取配置文件,进一步可读取所有后台代码:

7)异常操作泄露日志文件

使用超长参数值多线程访问发起长请求导致access.log过大,将一些部分转储到响应中,泄露用户的ip地址,请求时间和url路径。

测试此类泄露服务器信息的漏洞,常使用的方法是增删参数值、构造畸形数据、超长数据等使服务器报错(404/500),报错信息可能泄露服务器绝对路径、版本号、代码层信息、数据库信息等。

8)其他

信息泄露的案例很多,通常是其他漏洞的危害结果,之前分享过漏洞几乎都可以和信息泄露挂钩,当然还有其他姿势,如APP测试,通过content provider客户端调试:

adbshell content query --uri content://org.nextcloud/file读取文件等。总之,信息泄露的类型、表现和挖掘方式丰富,需要多挖多总结。

4、最后

渗透测试实战系列完结,其他漏洞未涉及到可能在当下的测试环境里确实不太常见。另外计划下面另开一系列,暂时定为“Java代码审计挖洞系列”、”移动安全测试系列”、“安全建设专题系列”,”实战安全工具汇总系列”中一个,哪个对你来说更有用?

本文分享自微信公众号 - 卓文见识(zhuowenjianshi)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-08-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 探寻浏览器渲染的秘密

    起因是这样,有运营小姐姐跟我反馈某个页面卡顿的厉害。心中突然一想,妈耶不会有bug吧,心慌慌的。然后自己打开页面,不卡呀,流畅的一xx,肯定是她弄错了。带着去教...

    桃翁
  • Pandas常见的性能优化方法

    Pandas是数据科学和数据竞赛中常见的库,我们使用Pandas可以进行快速读取数据、分析数据、构造特征。但Pandas在使用上有一些技巧和需要注意的地方,如果...

    石晓文
  • 【前端小技巧】CSS3实现环形进度条

    前端设计肯定会遇到进度条的问题,很多人直接使用js插件,需要引入js文件,增加页面承载量,容易引起冲突。

    用户5997198
  • 一个R语言中操纵矢量空间数据的标准化工具—sf

    摘要 Simple features是一种在计算机中编码矢量空间数据(点、线、面等)的标准化方法。sf包在R语言中引入了simple features对象,它基...

    数据小磨坊
  • 基于CSS3技术,炫酷3D立方体预加载loading特效

    这是一款css3炫酷3D立方体预加载loading特效。该特效通过简单的HTML元素和CSS3代码,构建几个立方体不停运动的动画特效,适用于做页面的loadin...

    用户5997198
  • 我是怎么把博客粉丝转到公众号的

    我大约在 2014 年底开了自己的个人博客,当时就是想自己记录点学习总结,一个是方便查阅,二是锻炼一下自己写总结或者文章的能力,最初就是记录一些日常生活、编程学...

    用户1564362
  • 资源君带你抓取网站数据

    这是公众号Java模板(跟资源君一起学Java)的第一篇推文,资源君创建这个模板也是为了监督自己不断的学习,并且不断的跟大家一起分享编程当中的一些好...

    JAVAandPython君
  • Pandas常见的性能优化方法

    Pandas是数据科学和数据竞赛中常见的库,我们使用Pandas可以进行快速读取数据、分析数据、构造特征。但Pandas在使用上有一些技巧和需要注意的地方,如果...

    Datawhale
  • 我是怎么把博客粉丝转到公众号的

    我大约在 2014 年底开了自己的个人博客,当时就是想自己记录点学习总结,一个是方便查阅,二是锻炼一下自己写总结或者文章的能力,最初就是记录一些日常生活、编程学...

    崔庆才
  • 探寻浏览器渲染的秘密

    起因是这样,有运营小姐姐跟我反馈某个页面卡顿的厉害。心中突然一想,妈耶不会有bug吧,心慌慌的。然后自己打开页面,不卡呀,流畅的一xx,肯定是她弄错了。带着去教...

    胡哥有话说

扫码关注云+社区

领取腾讯云代金券