最新动态

常见问题

Web渗透之信息泄露漏洞

2021/3/16 12:04:24 阅读次数: 标签:web渗透,信息泄露漏洞,网站漏洞

漏洞描述

备份信息泄露:站长对编辑器没有及时删除,或者技术人员编辑文件后没有删除生成的临时文件以及相关备份信息,造成信息泄露;

源码信息泄露:对网站文件访问的控制不到位,Web服务器开启源码下载功能或者允许用户访问网站源码;

错误信息泄露:网站服务器或Web程序没有对错误信息屏蔽回显,页面含有CGI处理错误的代码级别详细信息,例如SQL语句执行错误、PHP错误等;

测试页面信息泄露:没有删除测试界面导致测试界面暴露,从而被攻击者访问;

接口信息泄露:网站的接口访问把控不当,造成网站内部信息的泄露。


渗透测试

测试方法:对相关目录进行爆破,检查是否存在相关敏感文件;

错误信息泄露测试方法:发送非正常或者恶意的数据报文进行探测,检查是否处理好错误参数;

接口信息泄露漏洞测试方法:使用爬虫或者扫描器爬取获取接口相关信息,检查网站是否设置得当接口权限。


风险评级:中风险(倘若大量源码或客户信息泄露则为高风险)


安全建议

测试页面信息泄露漏洞:删除相关测试界面,做好权限控制

备份信息泄露漏洞:删除相关备份信息,做好权限控制

源码信息泄露漏洞:做好权限控制

接口信息泄露漏洞:对接口访问权限严格控制

错误信息泄露漏洞:对用户将错误信息透明化,CGI处理错误后,设置返回的友好提示语以及返回码,但不对用户提示出错的代码级别原因