敏感信息泄露概述
由於后台人員的疏忽或者不當的設計,導致不應該被前端用戶看到的數據被輕易的訪問到。 比如:
---通過訪問url下的目錄,可以直接列出目錄下的文件列表;
---輸入錯誤的url參數后報錯信息里面包含操作系統、中間件、開發語言的版本或其他信息;
---前端的源碼(html,css,js)里面包含了敏感信息,比如后台登錄地址、內網接口信息、甚至賬號密碼等;
類似以上這些情況,我們成為敏感信息泄露。敏感信息泄露雖然一直被評為危害比較低的漏洞,但這些敏感信息往往給攻擊着實施進一步的攻擊提供很大的幫助,甚至“離譜”的敏感信息泄露也會直接造成嚴重的損失。 因此,在web應用的開發上,除了要進行安全的代碼編寫,也需要注意對敏感信息的合理處理。
你可以通過“i can see your abc”對應的測試欄目,來進一步的了解該漏洞。
1.登錄界面,F12打開源碼也沒有什么,
2.嘗試查看,abc.php頁面,在未登錄情況下可進入,
3.查看源碼還找到信息泄露,
