第四十四節課 敏感資訊洩漏
敏感資料報括但不限於:口令、金鑰、證書、會話標識、license、隱私資料(如短訊息的內容)、授權憑據、個人資料(如姓名、住址、**等)等,在程式檔案、配置檔案、日誌檔案、備份檔案及資料庫中都有可能包含敏感資料。主要分為由版本管理軟體導致的洩露, 檔案包含導致的洩露和配置錯誤導致的洩露.
由於後台人員的疏忽或者不當的設計,導致不應該被前端使用者看到的資料被輕易的訪問到。 比如:
由於**開發人員或者運維人員疏忽,存放敏感資訊的檔案被洩露或由於**執行出錯導致敏感資訊洩露。
漏洞分類
原始碼託管平台 (演示)
原始碼託管,是公共專案的導致敏感資訊洩漏 其他
robots.txt
相關利用工具
這種型別的漏洞是可以借助基於目錄掃瞄的工具實現自動化探測的
whatweb
御劍掃瞄器
skipfish
1、禁止在**中儲存敏感資料:禁止在**中儲存如資料庫連線字串、口令和金鑰之類的敏感資料,這樣容易導致洩密。用於加密金鑰的金鑰可以硬編碼在**中。
2、禁止金鑰或帳號的口令以明文形式儲存在資料庫或者檔案中:金鑰或帳號的口令必須經過加密儲存。例外情況,如果web容器的配置檔案中只能以明文方式配置連線資料庫的使用者名稱和口令,那麼就不用強制遵循該規則,將該配置檔案的屬性改為只有屬主可讀寫。
3、禁止在cookie中以明文形式儲存敏感資料:cookie資訊容易被竊取,盡量不要在cookie中儲存敏感資料;如果條件限制必須使用cookie儲存敏感資訊時,必須先對敏感資訊加密再儲存到cookie。
4、禁止在隱藏域中存放明文形式的敏感資料。
5、禁止用自己開發的加密演算法,必須使用公開、安全的標準加密演算法。
6、禁止在日誌中記錄明文的敏感資料:禁止在日誌中記錄明文的敏感資料(如口令、會話標識jsessionid等),防止敏感資訊洩漏。
7、禁止帶有敏感資料的web頁面快取:帶有敏感資料的web頁面都應該禁止快取,以防止敏感資訊洩漏或通過**伺服器上網的使用者資料互竄問題。
8、上線之前檢查**目錄沒有其他的備份檔案
9、配置web容器不能訪問.開頭的檔案
風炫安全web安全學習第四十四節課 敏感資訊洩漏
風炫安全Web安全學習第四十九節課 靶場實戰
靶場實戰 自 網路安全法 實施以後,在網際網路上未經授權的滲透測試是違法行為。缺少了實戰的戰場,我們現在一般用靶場來進行實戰的滲透測試學習,因為這樣不會影響別人 服務的正常執行,不會影響到別人的業務。我在這裡推薦幾個靶場,然後可以對靶場裡面的漏洞進行針對化學習並實戰。封神台,掌控安全的線上靶場 i春...
實習篇 第四十四天
昨天系統公升級,我擔心的一夜沒有睡好覺,準確的說是這一周都沒有睡個好覺,整天是提心吊膽的,順理成章的我也感冒了!有句話說的好 只有在你生病的時候最想家!但是這一次,這種感覺竟被工作上的事給壓了下去!上午來到公司就聽見經理打 說系統更改過密碼之後提示有錯誤,我隱隱約約感到有問題。果然不出所料,下午問題...
程式設計訓練第四十四期 多數元素
給定乙個大小為 n 的陣列,找到其中的多數元素。多數元素是指在陣列 現次數 大於 n 2 的元素。你可以假設陣列是非空的,並且給定的陣列總是存在多數元素。1.雜湊表 時間複雜度o n 我們遍歷陣列 nums 一次,對於 nums 中的每乙個元素,將其插入雜湊表都只需要常數時間。如果在遍歷時沒有維護最...