資訊洩漏--物理路徑洩露
訪問某**時在其後面隨意加了乙個引數。
1.如果引數錯誤,返回內容什麼都沒有,只告訴你出錯 ,則說明無資訊可利用。
2.如果引數錯誤,返回內容有物理路徑,則攻擊者可以利用該物理路徑攻擊伺服器
對於物理路徑洩漏問題,可能由以下幾個原因導致:
1.開發者未關閉debug模式,導致引數錯誤時進入debug除錯模式,將敏感資訊洩露
2.開發者未考慮引數錯誤問題,導致引數錯誤時進入未知介面(未知介面包含物理路徑敏感資訊)
有以下幾個修復方案:
1.將debug模式關閉
2.對於引數錯誤問題,定義乙個專有的引數錯誤返回介面(其中不包含任何敏感資訊)
3.對於引數錯誤無法關閉含有物理路徑等敏感資訊的服務,將其移至內網,防止他人利用
iis7多個網域名稱繫結同一物理路徑
3 進入 windir system32 inetsrv config目錄 windir 即windows的安裝目錄,比如c windows 4 5 在最後configuration節中加入如下語句 在最後加 location path a system.webserver defaultdocum...
談一談資訊洩露這件事
目前公民隱私洩露越來越嚴重,房產,教育,公務員,各行各業,資訊洩露也越來越多,詐騙也越來越多 前些日子,有個高三的山東女孩 被騙了學費後,死了 讓人惋惜,不過在此同時,我們如何來減少此類案件發生的機率?這是我們作為安全從業者需要考慮的乙個問題 2.詐騙是怎麼產生的 是先獲取到了完整的女孩資訊,然後利...
測試中常見的一些資訊洩露
管理員在使用hg init建立乙個專案的時候一般會生成.hg,檔案一般在根目錄下輸入.hg就可以發現.檢測方法 可能會發現一些配置資訊 管理員在使用git init初始化的時候會在當前的目錄下產生乙個,git的隱藏檔案,用來記錄 的變更記錄。在發布 的時候如果這個目錄沒有刪除可以利用這個檔案來恢復原...