2.常见的目录信息泄露
a.目录遍历漏洞:(前端数据包传输的时候没有验证可能会出现)
原理:程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件
b.敏感信息泄露:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到
1.通过访问url可以直接
2.输入错误的url参数后,错误信息中可能有操作系统中间件等信息
c.前端的源码里面包含敏感信息
3.常见的源码泄露案例
Web源码泄露浅析
4.目录扫描工具-dirbuster
一、robots.txt
网站内的robots.txt文件
二、目录爆破
御剑niktodirbusterwebdirscan...
三、第三方资源引用
JsSDK
DirBuster
owasp项目,dirbuster是一个多线程的基于java的应用程序设计用于暴力破解web应用服务器上的目录名和文件名的工具
具体操作步骤如下:
1.URL设置;
2.线程数设置;
3.选择爆破字典;
4.取消选择递归查询;
5.开始运行
优点可以扫出网站的结构,就非常的好
https://habo.qq.com/
里面应用可以对后门程序进行扫描
进入木马网页。由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如:
通过访问url下的目录,可以直接列出目录下的文件列表
输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息
前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等。
内存中的敏感信息使用结束后如果不及时清理,会存在敏感信息泄露的风险,应尽量减小敏感信息在内 存中的生命周期,使用结束后立即清0。Java中的 String 是不可变对象(创建后无法更改),使用 String 保存口令、秘钥等敏感信息时,这些敏感信息会一直在内存中直至被垃圾收集器回收(其生命 周期不可控),如果进程的内存被dump,会导致敏感信息泄露风险。
内存中的敏感信息不能依赖垃圾回收机制的清理,而是在使用结束后主动将内存中的信息清0。为了方 便内存的清理,推荐优先使用 char[] / byte[] 存储敏感信息。对于必须使用String进行数据处理的场 景(如web系统获取请求数据、数据需要转为json字符串进行传递、接口中预定义使用String传递参数 等),不需要将String转为char[]这样的无效处理,但要对所有涉及敏感信息的String中的信息进行清 理,不要遗漏,例如将一个含敏感信息的对象转为json串,使用结束后要将对象中敏感信息及json串全 部清0。String的清理可以通过反射、调用JNI接口等方式实现
