首页
学习
活动
专区
工具
TVP
发布
您找到你想要的搜索结果了吗?
是的
没有找到

Java代码审计 -- 敏感信息泄露

欢迎关注我的微信公众号《壳中之魂》,查看更多网安文章 敏感信息一般分为系统敏感信息和应用敏感信息两大类,其中,系统敏感信息一般为业务系统本身的基础环境信息,例如系统信息、中间件版本、代码信息;应用敏感信息又可以分为个人敏感信息和非个人敏感信息...系统敏感信息泄露可能为攻击者提供更多的攻击途径与方法,而应用敏感信息泄露造成的危害就因信息内容而定。...TurboMail 5.2.0敏感信息泄露 TurboMail邮件系统是某面向企事业单位通信需求而研发的电子邮件服务器系统。...type=pm可以发现显示出了登陆过的用户信息,造成了敏感信息泄露 [2cfd1df51d27288990a4c4169ed827f0.jpeg] 开发组件敏感信息泄露 错误页面 若开发人员未做好自定义错误页面...参考网站:公司项目被安全公司扫描出“报错页面敏感信息泄露”,问题如下?

2.5K00

干货|浅析敏感信息泄露漏洞

2、内容速览 敏感信息泄露 描述: 敏感数据包括但不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序文件、配置文件、日志文件...Web中存储敏感的数据信息。 检测方法: 检测形式多样,工具爬虫扫描得到敏感文件的路径,从而找到敏感数据, 手工挖掘,根据web容器或者网页源代码的查看,找到敏感信息。...禁止在 cookie 中以明文形式存储敏感数据:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie...禁止在日志中记录明文的敏感数据:禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等), 防止敏感信息泄漏。...禁止带有敏感数据的Web页面缓存:带有敏感数据的Web页面都应该禁止缓存,以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。

3K21

超详细敏感信息泄露漏洞总结

操作系统版本 可用nmap扫描得知 中间件的类型、版本 http返回头 404报错页面 使用工具(如whatweb) 可用whatweb、cms_identify Web敏感信息 phpinfo()信息泄露...其他 网络信息泄露 DNS域传送漏洞运维监控系统弱口令、网络拓扑泄露、zabbix弱口令、zabbix sql注入等 第三方软件应用 github上源码、数据库、邮箱密码泄露 敏感信息搜集工具 https...漏洞描述 致远OA A6 initDataAssess.jsp 存在用户敏感信息泄露信息泄露 可以通过得到的用户名爆破用户密码进入后台进一步攻击 获取目标 fofa搜索:title=“致远A8+协同管理软件...3、禁止在cookie中以明文形式存储敏感数据:cookie信息容易被窃取,尽量不要在cookie中存储敏感数据;如果条件限制必须使用cookie存储敏感信息时,必须先对敏感信息加密再存储到cookie...7、禁止带有敏感数据的Web页面缓存:带有敏感数据的Web页面都应该禁止缓存,以防止敏感信息泄漏或通过代理服务器上网的用户数据互窜问题。 8、应根据业务特点定义出系统存储的敏感信息

9.2K13

不容忽视的JS敏感信息泄露

而本文将要介绍的JS泄露敏感信息问题也是如此,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。...一些粗心的开发者将各式敏感信息存储在JavaScript脚本中,由于JS的特性,攻击者可以对这些信息一览无余,从而导致对WEB服务和用户隐私造成不同程度的威胁。...三、漏洞的分类及利用 根据泄露的内容、利用方式以及带来的危害不同,大致可以将JS敏感信息泄露分为以下三类: 1....页面内JS以及AJAX请求泄露用户敏感信息 经过以往测试经验的归纳,此类漏洞常见该类型的泄露常见于网站评论功能实现处。其实该类型的漏洞比通过收集用户敏感信息来的更加快捷容易。...不需要SQL注射脱库,通过编写爬虫就能大批量的获取用户的敏感信息,利用难度小,危害却很大。

2.5K10

业务逻辑漏洞探索之敏感信息泄露

近期,万豪酒店被爆近5亿客人的信息泄露。近年来,用户隐私泄露事件时有发生,也不得不给我们敲响警钟。 敏感信息时业务系统中的保密性要求较高的数据,通常包括系统敏感信息和引用敏感信息。...,身份证、姓名、电话号码等,泄露后可能会对应用的用户带来危害,比方说这次的万豪酒店敏感信息泄露事件。...4 错误处理测试 不安全的错误处理方法可能泄露系统或应用的敏感信息,手工测试的过程中应留意各类错误信息,如果发现错误信息中包含系统或应用敏感信息,则进行记录。...5 小总结 以上就是斗哥对于敏感信息泄露的一点小总结,越来越频发的用户信息泄露事件也让我们不得不反思,如何在大数据时代,保护我们的敏感信息。...以下是斗哥对于敏感信息泄露防护的建议: 1.应根据业务特点定义出系统存储的敏感信息。 2.敏感信息在存储、传输、显示时应进行安全处理,可采用的处理方式为加密或脱敏。

1.1K30

GShark-监测你的 Github 敏感信息泄露

近几年由于 Github 信息泄露导致的信息安全事件屡见不鲜,且规模越来越大。就前段时间华住集团旗下酒店开房记录疑似泄露,涉及近5亿个人信息。...后面调查发现疑似是华住的程序员在 Github 上上传的 CMS 项目中包含了华住敏感的服务器及数据库信息,被黑客利用导致信息泄露(这次背锅的还是程序猿)。...企业没办法保证所有人都能够遵守规定不要将敏感信息上传到 Github,尤其是对于那种特别依赖于外包的甲方企业,而甲方的开发人员也是一无所知,这种事件发生也就是司空见惯了。...目前,这个项目与 x-patrol 已经有着很大的变化,比如移除了本地代码的检测,因为这个场景没有需求,其实我本身自己也实现了一个基于 lucene 的敏感信息检索工具。...对于一条记录,一共有三种操作,确认为敏感信息,忽略这条记录,忽略包含这条记录的代码仓库的所有记录。 遇到过的问题 在做这个项目的时候,大大小小遇到过很多问题。

1.7K20

Web安全Day11 - 敏感信息泄露实战

,比如后台登录地址、内网接口信息、甚至账号密码等; 类似以上这些情况,我们成为敏感信息泄露。...敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。...Web敏感信息 image.png image.png 泄露员工邮箱、分机号码   泄露邮箱及分机号码可被社工、也可生成字典。...等) 其他 网络信息泄露 DNS域传送漏洞运维监控系统弱口令、网络拓扑泄露、zabbix弱口令、zabbix sql注入等 第三方软件应用 github上源码、数据库、邮箱密码泄露   搜类似:smtp...2)账号密码泄露 右键查看源代码发现测试账号 登陆成功 3)错误处理测试 不安全的错误处理方法可能泄露系统或应用的敏感信息,手工测试的过程中应留意各类错误信息,如果发现错误信息中包含系统或应用敏感信息

1.5K60

基于机器学习的GitHub敏感信息泄露监控

现在很多公司都会面临,内部敏感信息,比如代码,内部系统服务器地址,账号,密码等等泄露到GitHub上的风险,有恶意的也有非恶意的。...这个问题有时很难完全规避掉,为了降低可能的恶劣影响,一般都是会内部搭建一个GitHub敏感信息泄露的监控系统。...之所以对于敏感信息泄露的审核,一直由人工来进行,我感觉就是因为这个的识别没有一个很有效的模式,很难实现自动化,需要人工去判断。...因为在做技术分享的同时,要保证绝对不能够泄露公司的敏感信息,所以下文中涉及到的运行演示,重要敏感信息都进行了脱敏(瞎编。。。)处理。大佬们如果有兴趣,可以使用自己在这方面工作中积累的样本来测试效果。...运行效果演示: 2) 识别告警信息,排除误报,找出真正的敏感泄露信息。 首先从JSON配置文件读取配置。也就是通过上一步程序获取的重要信息。然后建立几个后续要用到的临时变量。

93830

基于机器学习的敏感信息泄露治理探索

传统 VS AI 现有的敏感信息检测依赖经验知识,通过经验指定敏感关键字或正则对响应内容进行匹配,从而筛选出敏感信息,规则不全将导致漏报。...Step2 敏感信息分类:通过建立不同类别的敏感信息模型,每个模型输出一个概率值,用于指示待检测信息属于各类的可能性,选择最高的值代表的类型作为敏感信息类型。...写在最后 敏感信息泄露将对企业带来巨大的经济损失,甚至是法律责任,所以企业敏感数据保护至关重要。机器学习方案可以作为传统方案的补充与完善,为企业敏感信息保护带来新思路。...另外,不可忽视的是,在提升检测能力的同时,也需要加强信息泄露的防范。这才是最根本的解决之道,不能舍本逐末。...基于机器学习的敏感信息泄露检测-分类-分级治理方案是我们在流量安全分析领域一个小小的尝试,未来我们也将持续探索更复杂的场景与更丰富的解决方案,不断拓展,为流量安全发掘新思路,也希望为业界带来一些新想法。

1K10

打造基于Nginx的敏感信息泄露检测系统

linux/splunk-7.1.2-a0c72a66db66-linux-2.6-x86_64.rpm 1、需求说明 在甲方的小伙伴一定会碰到这样的问题: 日了狗的开发总是不把应用/数据库的详细错误信息隐藏...如何主动检测敏感信息泄露然后拿去使劲怼开发呢?...我们这次要实现的是服务器响应体敏感信息的记录,只需要用到body_filter(响应体处理)和log(日志记录)两个阶段处理,流程如下: body_filter阶段匹配resp_body-->通过ngx.ctx...ngx.arg[2] local ctx_log = {} --日志table local regex = [[You have an error in your SQL syntax]] --匹配的敏感内容...local m = ngx.re.match(resp_body, regex, 'jio') --对响应体做正则匹配 if m then --如果匹配到敏感信息 ctx_log.rule_match

1.4K20

Web安全系列——敏感信息泄露与加密机制

一、前言 数字化时代,越来越多的数据正在被传输到Web应用程序中,这其中不乏个人或机构的敏感信息。...二、加密机制失效(敏感信息泄露)的危害 窃取用户利益:攻击者将有可能窃取个人信息(信用卡号、密码、社保号等),然后利用这些信息窃取用户利益。...用于欺诈和其他不良目的:通过窃取敏感信息,攻击者可以使用这些信息进行诈骗、盗取资金、冒充身份,破坏商业竞争以及散播恶意病毒和其他不良软件等。...侵犯隐私:Web应用程序的失效,可能会导致用户隐私被侵犯,由于不被允许收集或使用的个人用户信息泄露或滥用,给用户带来相当大的心理和经济压力。...后端逻辑处理: 后端服务在做逻辑处理时也需要有一定的加密机制,如敏感信息不应明文打印到日志中。 存储加密: 数据库中的敏感信息字段需要进行加密存储。

44561

一次敏感信息泄露引发的逻辑漏洞挖掘

根据手头上的信息,最大化的利用,一次简单的漏洞挖掘,感觉过程很有意思分享一下~ 0X01初始 收集子域,也是渗透的初始。...这里我只是简单用了fofa发现了该公司用来管理合作的一些子域名然后发现是登录管理页面,深入然后发现很多的敏感信息。也是从其中的一处敏感泄露,引发了众多漏洞的挖掘。整个测试其实就花了半个小时不到。...这一扫,我发现了一些敏感信息泄露泄露了一些管理员的创建时间,和名字,但是都无关轻重 ?...它这里,在我刚开始挖掘的时候就注意到,但是苦于无法知道账号和对应的公司名称,遂先放置 但是通过里面的信息泄露,我发现了命名规律和部分的账号名称 然后通过查看js提示 发现发送的验证码是4位。...一切罪恶的源头都要从,那一处由js泄露敏感文件开始。从那里我们得知了账号命名规则。然后通过规则爆出出大量的弱口令,从而进去后台。

91530
领券