敏感信息泄漏简述
攻击方式
常见的攻击方式主要是扫描应用程序获取到敏感数据
漏洞原因
应用维护或者开发人员无意间上传敏感数据,如 github 文件泄露
敏感数据文件的权限设置错误,如网站目录下的数据库备份文件泄露
网络协议、算法本身的弱点,如 telent、ftp、md5 等
漏洞影响
应用程序、网站被修改
个人资料、公司资料泄露,被用于售卖获利
漏洞防护
对于 github 泄露,定期对仓库扫描
对于应用网站目录定期扫描
使用强壮的网络协议与算法
实施传输层安全性 (TLS) 以保护传输中的数据
尽可能避免存储敏感数据,或存储时间超过所需时间
加密所有需要存储的静态数据
通过 HTTP 严格传输安全 ( HSTS ) 或类似指令强制加密
不要缓存包含敏感数据的用户响应
对数据进行分类(处理、存储或传输)并根据分类应用控制
实施强大的标准算法、协议和密钥
使用哈希函数,例如 brcrypt、scrypt、Argon2、PBKDF2,这些函数总是对密码进行加盐和哈希处理
icanseeyourABC
根据提示,find abc,直接访问abc.php
成功登录
在登录界面查看源代码,发现测试账号
lili/123456
也能成功登录