1. 敏感信息泄露
信息 泄露 敏感
2023-09-14 09:11:34 时间
软件敏感信息
* 操作系统版本
可用namp扫描得知
* 中间件的类型、版本
http返回头
404报错页面
使用工具(如whatweb)
* Web程序(cms类型及版本、敏感文件)
可用whatweb、cms_identify
Web敏感信息
* phpinfo()信息泄漏 http://[ip]/test.php和http://[ip]/phpinfo.php * 测试页面泄漏在外网 test.cgi、phpinfo.php、info.php等 * 编辑器备份文件泄漏在外网 http://[ip]/.test.php.swp http://[ip]/test.php.bak http://[ip]/test.jsp.old http://[ip]/cgi~ 常见编辑器备份后缀 * 版本管理工具(如git)文件信息泄漏 http://[ip]/.git/config http://[ip]/CVS/Entriesp http://[ip]/.svn/entriesp * HTTP认证泄漏漏洞 http://[ip]/basic/index.php Web目录开启了HTTP Basic认证,但未限制IP,导致可暴力破解账号、密码 * 管理后台地址泄漏 http://[ip]/login.php http://[ip]/admin.php http://[ip]/manager.php http://[ip]/admin_login.php * 泄漏员工邮箱、分机号码 泄漏邮箱及分机号码可被社工,也可生成字典 * 错误页面暴漏信息 面熟sql错误、php错误、暴漏cms版本等 * 探针文件 * robots.txt * phpMyAdmin * 网站源码备份文件(www.rar/sitename.tar.gz/web/zip等) * 其他
网络信息泄漏
* DNS域传送漏洞 * 运维监控系统弱口令、网络拓扑泄漏 zabbix弱口令、zabbix sql注入等
第三方软件应用
* github上源码、数据库、邮箱密码泄漏 搜类似:smtp 163 password关键字 * 百度网盘被员工不小心上传敏感文件 * QQ群被员工不小心上传敏感文件
敏感信息搜集工具
https://github.com/ring04h/weakfilescan https://github.com/lijiejie/BBScan whatweb dnsenum github
示例
![](http://upload-images.jianshu.io/upload_images/2461408-5e55c6264c01990e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/589)
作者:reber
链接:https://www.jianshu.com/p/be2cac664eb5
相关文章
- 在TextView上显示图片信息
- 【刷题】面筋-数据库-查出“张”姓学生中平均成绩大于75分的学生信息
- SAP Spartacus B2B table的配置信息从哪里来?
- Atitit.web的自动化操作与信息抓取 attilax总结
- Atitit.获取主板与bios序列号获取硬件设备信息 Wmi wmic 的作用
- Python之pandas:利用describe函数统计【类别型】特征/离散型变量的描述性统计信息(包括个数count、unique、top及其freq、first、last)之详细攻略
- 无信息变量消除法研究及实现(Matlab代码实现)
- 屏蔽DataGridView控件DataError 事件提示的异常信息
- Linux基础命令-usermod修改用户账号信息
- 物联网安全——信息泄露 tenda某路由器信息泄露查找 固件信息泄露 检测方式:IPS签名(web页面敏感信息泄露,需要定制做签名)
- 侧信道攻击——基于从密码系统的物理实现中获取的信息而非暴力破解法或是算法中的理论性弱点(较之密码分析)。例如:时间信息、功率消耗、电磁泄露或甚是声音可以提供额外的信息来源作为破解输入
- 企业信息化战略与实施(1)信息与信息化的概念
- 微信公众号嵌套H5获取用户openid等相关信息接口汇总
- 操作系统权限提升(九)之系统错误配置-泄露敏感信息提权