敏感信息介绍和测试方法
敏感信息泄露介绍:
因为系统管理员或者系统设计人员的疏忽、管理不当导致系统的配置信息、敏感数据(如用户登录名,身份证信息等)被其他用户可以轻易的收集到。
比如:
1.显示错误,在用户错误的url参数或其他数据参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息,从而导致web站点的默认后台被发现。
2.在前端的代码或源码中将敏感信息(将账号密码)直接写为注释
3.默认后台地址泄露,用户通过获取的搭建的cms系统,直接访问默认后台
例子1如下:
在某网页的搜索页面输入单引号
导致程序报错,从而泄露出后台的地址,之前还可以访问后台的现在好像被管理员修复了。
例子2如下:
用户名和密码使用明文传输,在自己搭建的靶场中登录系统,使用账号xiaobai,密码xiaobai,设置代理
点击登录后代理可以抓到数据包,同时可以直接看到账号和密码。如果在一些开放的wifi或是一些路由器节点上,容易被黑客获取账号密码。
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!