当前位置: 首页 > news >正文

贵港网站建设中国十大电商培训机构

贵港网站建设,中国十大电商培训机构,政府网站完整源码,cms中文名称是什么文章目录 信息泄露漏洞一文速通敏感信息の概念敏感信息の分类企业敏感信息用户敏感信息站点敏感信息 如何挖掘信息泄露漏洞?信息泄露风险清单(checklist)未授权访问类文件与数据泄露开发与调试信息泄露公共配置文件泄露其他敏感信息泄露点 威…

文章目录

  • 信息泄露漏洞一文速通
    • 敏感信息の概念
    • 敏感信息の分类
      • 企业敏感信息
      • 用户敏感信息
      • 站点敏感信息
    • 如何挖掘信息泄露漏洞?
      • 信息泄露风险清单(checklist)
        • 未授权访问类
        • 文件与数据泄露
        • 开发与调试信息泄露
        • 公共配置文件泄露
        • 其他敏感信息泄露点
      • 威胁情报信息泄露
        • 语雀公开知识库
        • 网盘搜索
        • GitHub

信息泄露漏洞一文速通

敏感信息の概念

  • 在法律框架中,敏感信息主要包括对自然人、个人隐私、商业机密的保护。从个人数据的角度看,敏感信息是指那些一旦泄露可能导致个人尊严受损,或造成财产损失的个人信息,如身份证号、信用卡号、住址、联系方式等。

  • 广义上,任何可以被利用、未经授权访问的数据信息均可视为敏感信息。

敏感信息の分类

企业敏感信息

不同领域对敏感信息的定义和保护要求不同,在挖掘企业SRC时,我们首先要明确目标企业的行业特性,以便有针对性地寻找潜在的敏感信息和评估其泄露风险。下面列举几例:

  • 物流行业:订单数据为核心敏感信息。例如顺丰的核心业务集中在订单管理系统,因此订单信息泄露将构成高危风险。
  • 租房/买房平台:租房合同、房屋设计图纸为重要的敏感内容。
  • 保险平台:客户数据及保单数据极为敏感,若被泄露将严重影响用户隐私及企业信誉。

挖掘企业信息时应特别留意其行业属性,从而更有针对性地关注该企业的敏感信息类型。

用户敏感信息

用户敏感信息一般包括姓名、身份证号、手机号、家庭地址、邮箱等,业内常用术语称之为“公民N要素”,即可识别个人身份的要素。在信息泄露中,当这些信息以组合形式出现(如姓名+身份证号),且泄露量超过一定阈值(如10条)时,便构成了信息泄露。

泄露的常见场景:

  • 社区、排行榜、评论区等凡是涉及加载其他用户数据的地方,都有可能存在信息泄露。为什么呢?因为一些接口可能仅在前端隐藏了敏感数据,但未加密的完整信息仍在数据包中可见。常见情况是前端显示用户昵称或ID,但接口返回的数据中包含了手机号、姓名等敏感信息。

  • 查询类接口:若接口鉴权不严密,常见的绕过手法是利用参数置空、修改 pageNopageSize 等参数,从而获得大量未授权的信息。关键字示例:infolistgetXXX。在挖洞过程中需要格外注意。

站点敏感信息

站点敏感信息指的是站点可能存在的敏感文件或目录。即大家最熟知的一类信息泄露漏洞,这里不过多赘述。

敏感文件、敏感目录的挖掘一般都是靠工具、脚本来找,比如灯塔、BBscan等。信息收集越完善,挖到敏感信息的概率就越大。


如何挖掘信息泄露漏洞?

信息泄露风险清单(checklist)

接下来我要隆重呈上我呕心沥血整理的「信息泄露风险清单」(Checklist)了。以便于大家在挖洞过程中备忘速查,明确当前场景属于哪一类信息泄露,或者当前场景最可能出现哪些信息泄露。

未授权访问类
  • 中间件及服务端口未授权访问
    • ActiveMQ
    • Atlassian Crowd
    • CouchDB
    • Docker
    • Dubbo
    • Druid
    • Elasticsearch
    • FTP
    • Hadoop
    • JBoss
    • Jenkins
    • Jupyter Notebook
    • Kibana
    • Kubernetes API Server
    • LDAP
    • MongoDB
    • Memcached
    • NFS
    • Rsync
    • Redis
    • RabbitMQ
    • Solr
    • Spring Boot Actuator
    • Spark
    • VNC
    • Weblogic
    • ZooKeeper
    • Zabbix
文件与数据泄露
  • 配置信息与敏感文件

    • phpinfo 信息泄露
    • 目录遍历漏洞
    • 历史记录文件 (.history)
    • 网站备份文件泄露(.rar, .zip, .7z, .tar, .gz, .bak)
    • .DS_Store 文件泄露
    • .svn 文件泄露
    • .git 文件泄露
    • WEB-INF/web.xml 配置文件泄露
    • XML文档数据泄露
  • 目录与页面泄露

    • 后台管理目录泄露
    • 网站安装目录和上传目录泄露
    • MySQL 管理页面暴露
    • 网站文本编辑器页面暴露
开发与调试信息泄露
  • API 文档与配置端点
    • Swagger 等 API 文档泄露
    • Spring Boot 端点泄露
    • Docker 数据与配置泄露
    • Sourcemap 文件(源码反编译)
    • 网站源代码泄露(如 GitHub 仓库)
公共配置文件泄露
  • robots.txt 文件
  • crossdomain.xml(跨域策略文件)
  • sitemap.xml 文件
  • 各类测试与临时文件
其他敏感信息泄露点
  • 地图 API 配置泄露
  • 监控系统配置泄露
  • 数据库信息配置泄露

威胁情报信息泄露

除了企业内部信息泄露,信息泄露也时常发生在第三方平台上。这类泄露问题的根源通常在于企业对外部平台上的敏感信息保护不足。以下是一些常见的外部泄露途径:

语雀公开知识库

语雀是一款知识管理工具,企业常用它来存储和共享内部文档。然而,如果权限设置不当或分享链接被公开,敏感信息极易被泄露。尽管经过多次整改,这类泄露风险有所下降,但仍然不容忽视。

关键词:服务器、123456、学号

网盘搜索

网盘搜索平台(如凌风云)汇集了大量资源,但其中也常有企业误上传的敏感文件。未经加密的文档、备份文件等一旦出现在公开目录中,企业数据就面临泄露风险。

GitHub

作为开源代码托管平台,GitHub是开发者的宝地,但也因信息误提交而成为敏感数据泄露的高发地。开发者偶尔会将 API 密钥、密码或源代码误提交至 GitHub 仓库中,这些信息可能会被不法分子利用,从而造成安全风险。


以上为敏感信息泄露的风险点分析及挖掘要点,安全人员在进行安全审查和渗透测试时,需充分利用上述信息并结合行业特性,避免不必要的信息暴露,为企业安全保驾护航。

http://www.zhongyajixie.com/news/16288.html

相关文章:

  • excel做网页放进网站seo关键词排名实用软件
  • 做淘宝客网站制作教程百度自媒体注册入口
  • 徐州城乡建设网站免费seo教程分享
  • 大连seo外包公司网络优化基础知识
  • 用腾讯云做网站怎么制作小程序
  • 建浏览器网站制作点击精灵seo
  • 专业的新乡网站建设营销网络怎么写
  • 网站建设中扁平化结构googleplay官方下载
  • 网站建设改版目的如何制作自己的公司网站
  • 东莞市建设规划局网站首页深圳关键词快速排名
  • 黄骅贴吧金宝南宁百度seo排名优化
  • 怎样入门网站开发网络推广软文范文
  • 什么是网站服务器名称天天自学网网址
  • 制作网站单页seo教程 seo之家
  • 网站建设一六八互联神马seo服务
  • 无锡公司网站建设服务免费生成短链接
  • 有没有专门做尾料回收的网站专业做灰色关键词排名
  • 网站建设官网免费模板搜索网站有哪些
  • 做网站提升公司形象站长是什么职位
  • nodejs网站开发关键词排名优化流程
  • 网站建设行业新闻销售课程视频免费
  • 怎么搭建一个自己的网站系统优化大师下载
  • 网站各个阶段推广友情下载网站
  • 西安高端品牌网站建设广州网络推广公司有哪些
  • 合肥专业网站建设手机网站百度关键词排名查询
  • 顺义企业网站建站公司站长工具seo综合查询是什么
  • 中山建设网站首页东莞seo快速排名
  • 如何查看网站的更新频率网站设计公司苏州
  • wordpress 封ip基本seo
  • 上海风险地区划分最新查询购买seo关键词排名优化官网