técnicas de excavación: resumen de la fuga de información

Language 2020-03-12 21:28:28 views: null

información sobre los peligros relacionados con la vulnerabilidad de las empresas y los usuarios, siempre ha sido una serie de cuestiones de alto riesgo, este artículo llevar a cabo las ideas acerca de la extracción de la fuga de información en ambas direcciones.

1 | 0 fuga de información respecto Web

 

1 | 1 0x01 divulgación de información de los usuarios

 

①: Observaciones en el

  • comentarios medianas de los usuarios a la información del usuario se cifran, por ejemplo, programas como el número de teléfono móvil o correo electrónico, dirigirán el medio de una pieza de cifrado digital, pero algunos no encriptados, pero muestran directamente, entonces este resultante en la edición de la información del usuario de la divulgación.

  • Si el cifrado realizado incorrectamente, directamente en el momento de la captura de los comentarios de los usuarios de sus conciertos y a continuación, ver el paquete de vuelta se puede ver directamente en texto claro, pero a veces habrá dos parámetros, como el nombre: 1333 ****** 1 Este valor es encriptada, pero habrá una nombre_prueba este parámetro no está cifrado, lo que resulta en la divulgación de información de usuario.

    Estos son algunos consejos, como en un mercado de comercio, que tiene opiniones de los usuarios del lugar, un lugar para comprar un pico de mostrar a los usuarios con éxito, no es un usuario local para comunicarse entre sí prueba, el sombrero generalmente de color blanco en la primera función encontró que el problema no existe, entonces no continuar con las pruebas al otro en la misma función, este descuido puede conducir a la pérdida de oportunidades para descubrir el problema, cada función, el mecanismo de cifrado a veces se puede perder, es en el usuario, tales como opiniones de los usuarios la información han sido cifrado, pero el pico precipitarse mostrar a los usuarios de éxito en los que no están cifrados, por lo que el sombrero blanco que sea el punto más cuidado.

  • Comentarios generales tendrán un comentario adicional en la función y una función de respuesta comercial, a continuación, en este momento si no hay cifrado para que esta función esté parámetros, a continuación, ver el paquete de retorno por el recorrido de captura de paquetes se puede ver la información y de usuario adicionales revisiones de información de negocios.

  • Algunos de ellos soportan Ait comentarios (@) los demás, entonces usted está entre este comentario por @ demás, a continuación, introduzca la información clic en Enviar a comentario en el momento, la captura de despacho de aduanas se puede ver que el usuario tiene simplemente @ el texto plano.

  • Cuando este lugar es un sitio de la revisión a los rastreadores de motores de búsqueda, puede intentar usar el sitio de comando de búsqueda: XXXX.com inurl: XX búsqueda de directorio en un motor de búsqueda que, si el cifrado no es completa, por lo que se puede ver en la información de texto sin formato en el motor de búsqueda.

    Sobre este tipo de problema de divulgación de información que encontré ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html

②: Departamento de Transferencias

  • Muchas grandes empresas tienen su propia plataforma financiera, a continuación, transferir a esto cuando se introducen las otras transferencias de cuentas, tales como números de teléfono o correo electrónico, y luego, cuando se hace clic en otro lugar, se envía un mensaje al servidor para verificar, verificar entrada existe la cuenta, y si no, devuelve los correspondientes nombres de usuario número de teléfono o cuenta de correo electrónico, tales como * rey (1333333XXX) dicha información de retorno, por lo que si el cifrado de front-end inapropiada en este momento, puede interceptar esta solicitud por la captura de paquetes, ver información de retorno , se puede ver el nombre en texto plano.

    En estas cuestiones, creo que los ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

  • Introduce la transferencia al siguiente número de teléfono general o cuenta de correo electrónico, hay una transferencia de información de la historia, un pequeño mini sitio, before'll ver cuando se hace clic en el éxito de la transferencia de información, pero, si no todos cifrado esta página, haga clic en Ver contenido de la captura histórica directamente a ver el retorno se pueden ver los nombres de texto plano cuando la transferencia bancaria.

③: búsqueda de Office

  • Algunas plataformas de las funciones integradas de búsqueda, con ideas como motor de búsqueda, también es libre de buscar, si los resultados de búsqueda contienen información del usuario en este pedazo de tiempo, entonces puede hacer que los usuarios problema de divulgación de información.

    En estas cuestiones, creo que los ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html

④: página personal en

  • Entre la página personal directamente cuando se gira la captura directa, para ver el paquete de vuelta se puede ver la información del usuario es completamente sin cifrar. Por ejemplo, algunos APP financiera, si el cifrado correctamente, al hacer clic en la interfaz de captura de paquetes individuales mediante la visualización de la vuelta del paquete se puede ver la información de identificación de texto sin formato y el nombre de usuario y número de teléfono móvil.

    Por supuesto, esto implicará no sólo los aspectos financieros de la aplicación tiene este problema, siempre y cuando se puede ver la página personal posible.

  • Compruebe la información de su tarjeta bancaria allí, por lo general se ha cifrado, pero fueron devueltos captura de paquetes para ver cuando se puede ver la información en texto plano número de tarjeta bancaria y la información del nombre cuando se ve en la información de la tarjeta bancaria.

⑤: Departamento de Servicio al Cliente

  • aspectos de servicio al cliente del problema pertenece a la falta de media seguridad, aspecto en que las empresas más grandes no llevan a cabo el entrenamiento de seguridad para el servicio al cliente, cuando se pide un número de teléfono correspondiente al nombre del servicio al cliente, servicio al cliente le enviará directamente al nombre, por supuesto, desea probar es cómo preguntar, y no se dio por vencido si no existe, para un cliente a continuar con las pruebas.

'

La divulgación no autorizada de las áreas de información del usuario:

①: ninguna Ver

  • Muchas plataformas requieren el nombre verdadero del sistema de certificación, subir nombre real del sistema requiere identificación con foto y otros cuadros de información, si no complicar el formato de nombre de archivo generado, entonces lo más probable es que haya ningún punto de vista, a modo de proceso por lotes que pueda estos pasos, tales como subir una imagen, la imagen generada por la dirección del servidor es XXX.com/xxx/xx/012313.jpg un corto de tales nombres de archivos en formato digital, que existiría el problema.

  • Compras plataforma que, en una dirección para añadir o modificar la dirección del lugar, si la autoridad no se filtre bien, puede anular cualquier usuario ver la información de la dirección.

  • En algunas plataformas que soportan los add subcuentas, y luego simplemente añadir una subcuenta, a continuación, ver la subcuenta de cuándo captura, modificar su valor ID, puede ver cualquier información de la cuenta

  • Algunas plataformas tienen los registros de operaciones u otra función de registro, a continuación, filtrar apropiada en este momento si los privilegios del usuario actual, entonces se puede ver todos los registros generados cuando una operación del usuario, lo que resulta en la divulgación de información.

  • En muchos plataforma financiera que, a la vista o modificar el apodo donde hay información personal, cuando se sometió a capturar, modificar su usuario es un usuario de la presencia de cualquier valor, entonces puede causar problemas para ver toda la información de usuario.

  • Si usted entra en alguna plataforma de personal interno, por lo que si usted tiene una función de búsqueda, por ejemplo, tiene que escribir el número de trabajo de los empleados luego volverá toda la información sobre el trabajo del empleado, este tiempo se puede dedicar personal sin la captura de paquetes por volumen, puede causar una amplia gama de fuga de información.

  • Acaba de comprar una cosa generar órdenes, si no es adecuadamente controlada autoridad en este momento, puede anular cualquier usuario para ver el orden, la información también puede considerarse a sí mismos y luego filtrarse.

    En este sentido, creo que los ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html

②: Todo restablecimiento

  • Si los permisos controlan adecuadamente, puede dar lugar a cualquier cambio de contraseña de usuario, a continuación, puede iniciar sesión para ver la información del usuario, que también llevó a la divulgación de la información del usuario.

③: cualquier modificación

  • Cuando haga un pedido modificar su ID de usuario de la existencia de cualquier ID de usuario, entonces el siguiente, y luego ver la información de un poco menos de pedidos, se puede ver la información de la dirección de envío del usuario, siempre y cuando establecieron una dirección de envío.

Las interfaces de usuario de la fuga de información:

  • Muchos sitios web de negocios en la línea en el momento se olvidó de cerrar la interfaz cuando se llevaron a cabo las pruebas, lo que resulta en un gran número de usuarios pueden consultar información sobre las interfaces. Entonces, ¿cómo encontrar tal una interfaz que?

    Uno de estos métodos para encontrar búsqueda de nombre de dominio en cuestión por el sitio web Github.com.

    En estas cuestiones, creo que los ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html

fuga de información de usuario áreas inyectadas:

  • La inyección puede decirse que es muy, muy grave, debido a que el inyectado a menudo se puede obtener una gran cantidad de información, si no hacer una buena filtración y protección, puede conducir a la inyección, por lo que todo tipo de datos en la base de datos expuestos ante el peligro.

 

servidor de información de la ruta divulgación 0x02

①: Añadir fotos a

  • Subir fotos en el punto en el que dijo que podría ser un problema en la mayoría, está a punto de subir documentos pertinentes, el sistema de conducción de nombre real cuenta como página de información de la carga, llevado a cabo en el momento de la captura de carga de imágenes, a continuación, ver el paquete de vuelta, por lo que se puede ver el servidor actual la información de ruta absoluta.

②: lugar de XML

③: servicios de terceros que

④: el consumo problemático de error

  • En tratar con el mensaje de error si se maneja adecuadamente, puede conducir a la ruta de fuga de información, tales como el acceso a algunos archivos que no existen ideas.

          Aquí me encontré con los ejemplos:

          http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.html

          http://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

 

1 | 2  0x03 empleado filtró información

 

①: entre los diversos plataforma de terceros

②: débil problema de las contraseñas

  • En algunos refiere a un sistema de área personal interno, si la contraseña empleado es débil contraseña, puede intentar iniciar sesión a través de la fuerza bruta, si chorreado con éxito en las cuentas de los empleados, por lo general, siempre y cuando el sistema de personal interno, la cuenta puede conectarse, entonces la resultante el impacto es grande.

 

1 | 3 información del servidor de base de datos de 0x04, y la fuga de información

 

①: entre los diversos plataforma de terceros

  • Github, algunos empleados si la falta de conciencia de la seguridad, la posibilidad de subir el mismo código que contiene la información de la información de conexión de base de datos y el servidor.

    En estas cuestiones, creo que los ejemplos relevantes: http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html

  • Buscar ideas mediante el grupo de QQ, si la falta de conciencia sobre la seguridad de los empleados, a continuación, el servidor de información y datos de conexión de base de datos estarán en el anuncio o grupo de archivos entre

②: lugar de XML

  • También en el archivo XML, que también se puede encontrar la información de conexión de base de datos y la información del servidor.

③: svn en

④: archivos de base

⑤: Otros documentos

  • Tal como otros tipos de archivos, como txt, doc, Excel y otros documentos, si la información contiene agradecido, entonces el daño es evidente.

 

2 | 0 aspectos de divulgación de información de la APP

 

2 | 1 0x01 describen dominio sensible

 

①: archivos locales entre

El primer punto:

Algunos de los más nombre de dominio privacidad pueden incluirse en el APP entre el archivo local, tales como una aplicación interna de los empleados entrar en el sistema, pero debido a la verificación del certificado, no se puede encontrar el paquete de datos, entonces usted puede ver los archivos locales de la APP, a continuación, se puede ver las llamadas en esta aplicación es lo que el nombre de dominio, y luego están el nombre de dominio correspondiente.

APP nombre de dominio extracto de una gran cantidad de procedimientos, muchos de Github, y aquí proporciono herramientas en Windows un autor lo escribió, necesita entorno de la Red Oh, Descarga:

https://pan.baidu.com/s/1slJaYnF

El segundo punto:

Es posible que prefiera de captura con Burpsuite, pero el proceso de certificación relacionada con la configuración será muy suave, o, a veces no puede encontrar la información relevante

Así que recomiendo una herramienta de captura de paquetes de raíz sin necesidad de herramientas, se puede agarrar paquetes HTTPS

Descargar: https://pan.baidu.com/s/1jKou83W         Contraseña: rh5i

Estos son los aspectos de la información recogida acerca de App

 

2 | 2 0x02 contraseña divulgación

 

  • Gesto también existe en el archivo de contraseñas local. Si el cheque no es el mejor o el cifrado correspondiente, contraseña gesto quede expuesta y explotado.

  • Algunos problemas APP es la información de inicio de sesión de usuario se almacena de forma local y contraseñas de cuentas se almacenan en texto claro en el que un archivo local o base de datos local SQLite, que es fácil de usar.

    Aquí he encontrado un ejemplo similar: http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02915.html

  • Del mismo modo, algunos APP pondrá una conexión exitosa de cookies guardados localmente, entonces simplemente encontrar los archivos relevantes se copian hasta la cookie, puede iniciar sesión en cualquier.

Por supuesto, el acceso a estos archivos es una necesidad privilegios de root , la información anterior se filtraron aspectos APP del problema!

zhangge3663
Publicado 35 artículos originales · ganado elogios 43 · vistas 160 000 +
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/zhangge3663/article/details/104826248
Recomendado
Clasificación
Diario
Más
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)
2024-05-05(0)
2024-05-04(17)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(33)

Code World

© 2018 codetd.com