首页 > 其他分享 >web基础漏洞-信息泄露

web基础漏洞-信息泄露

时间:2023-05-29 18:23:11浏览次数:35  
标签:web 配置文件 信息 敏感 漏洞 泄露 页面

1、介绍

信息泄露漏洞是基于web,可以直接请求到敏感信息。

2、一般页面

从一般页面中,提取注释、html元素或js变量

3、robots

获取可能的敏感路径

4、各种cms和中间件的管理页面、后台页面、标志页面

  • phpinfo
  • tomcat
  • apache

5、目录遍历漏洞

6、配置错误

导致可以访问超出范围的文件

7、敏感文件放置到可访问目录下

  • 账号密码信息
  • 数据库、网站备份
  • 配置文件
  • 源码文件

8、敏感文件和信息暴露在网上

  • 相关组织或个人的博客、论坛、github
  • 包括源码、账号密码信息、配置文件等

标签:web,配置文件,信息,敏感,漏洞,泄露,页面
From: https://www.cnblogs.com/wd404/p/17441293.html

相关文章

  • web基础漏洞-系统命令注入
    1、介绍应用程序有时需要调用一些执行系统命令的函数,如在php中,使用system、exec、shell_exec、passthru、popen、proc_popen等函数可以执行系统命令。当黑客能控制这些函数中的参数时,就可以将恶意的系统命令拼接到正常命令中,从而造成命令执行攻击。2、windows支持的管道符|直......
  • web基础漏洞-xxe
    XXE漏洞利用–任意文件读取_哔哩哔哩_bilibiliDTD快速入门_哔哩哔哩_bilibiliXXE学习笔记–FreeBuf网络安全行业门户1、介绍xxe漏洞全称XMLExternalEntityInjection即外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文......
  • web基础漏洞-文件包含漏洞
    1、定义文件包含是一种常用编程技巧,即一个文件中可以包含引入其他文件,以方便代码的复用。文件包含漏洞,是因为用户可以控制包含的文件路径,从而造成危害。包含远程php文件,然后执行代码包含远程一般文件,进行网站篡改包含本地文件,暴露信息,比如系统账号密码2、相关语言和函数......
  • web基础漏洞-文件上传漏洞
    文件上传总结–FreeBuf网络安全行业门户1、定义文件上传漏洞,是因为在网站的文件上传业务中,未严格限制上传的类型,从而导致可访问、可执行的文件被上传到服务端,访问执行后造成危害。(1)静态文件,将html、js、css等静态文件上传,可以造成xss、csrf、重定向等危害(2)脚本文件,也是最主......
  • web基础漏洞-目录遍历漏洞
    1、介绍目录遍历漏洞,是指可以遍历查看非公开访问的,位于网站目录下或系统中的全部或部分文件。属于信息泄漏的类型之一目录遍历有两种形式:基于业务代码查询,而未限制参数,导致可以查询非公开文件由于服务器容器等中间件,未严格过滤敏感字符,导致超出边界查询2、查询目标当前网......
  • JavaWeb 解决乱码问题
    自写过滤器解决文件结构代码配置EncondingFilerpackagefilter;importjavax.servlet.*;importjava.io.IOException;publicclassEncondingFilterimplementsFilter{@Overridepublicvoidinit(FilterConfigfilterConfig)throwsServletException{......
  • web基础漏洞-地址类漏洞
    1、介绍地址类漏洞指的是,可以由攻击者控制的地址类参数导致页面重定向到攻击者控制网站,进行钓鱼或者将敏感数据发送给攻击者加载攻击者指定的资源,比如脚本、iframe,替换下载资源,替换图片进行钓鱼,尤其是联系方式或支付信息重定向漏洞属于地址类漏洞的一种场景。2、输入(1)......
  • web基础漏洞-响应拆分漏洞
    1、介绍典型的响应拆分漏洞,是指的http响应字段拆分漏洞。即服务端动态将参数写入返回给用户的响应的头部字段中,该参数可以被攻击者控制,使包含\r\n这两个用于分隔不同响应头部行的字段或者\r\n\rn用于分隔响应头部与响应体部字段,同时写入响应过程未被阻止,那么用户接收到响应时,浏......
  • scrapy+scrapyd+scrapydweb的使用(采取一个案例演示)
    前期准备--创建一个scrapy爬虫(以上海热线-热点新闻为例:https://hot.online.sh.cn/node/node_65634.htm)1.安装scrapy,scrapyd,scrapydwebpipinstallscrapypipinstallscrapydpipinstallscrapyd-clientpipinstallscrapydweb2.创建工程scrapystartprojectnewsspider3.创建n......
  • web基础漏洞-重定向漏洞
    1、介绍如果请求的url中存在某绝对路径的url参数,作为响应的location字段的值。那么攻击者,可以控制该参数,使其为攻击者控制的站点中的页面。由此,使得受害者用户跳转访问,攻击者可以进行钓鱼活动。如果跳转前url包含敏感信息,那么其将会在referer字段中被传递给攻击者。2、测试3......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99