信息泄露漏洞詳解

參考文章

• 挖洞技巧：信息泄露之總結
• tag： #信息泄露
• Ref：

---

一、web的信息泄露

1、用戶信息泄露

a.評論處

第一點
一般用戶評論處用戶的信息都是加密的，比如顯示的是用戶手機號或郵箱等，就會直接對中間的一段數字進行加密，但是有些可能就沒有加密，而是直接顯示出來，那么這就造成了用戶信息泄露問題。

第二點
如果加密不當，直接游覽用戶評論處時進行抓包，然后查看返回包就可以直接看到明文，但有的時候會有2個參數，就比如name：1333******1這個值是加密的，但后面還會有一個testname這個參數就沒有進行加密，從而導致用戶信息泄露。
這里有一些小技巧，就比如一個買賣市場，他有用戶評論的地方，有一個秒殺搶購成功的展示用戶的地方，還有一個是用戶相互交流的地方，一般白帽子測試了第一個功能處發現不存在問題，然后就不繼續測試其它相同功能處了，這個疏忽就可能會導致錯過一個發現問題的機會，每個功能處，加密機制有時候就會被漏掉，就比如用戶評論處用戶信息加了密，但是秒殺搶購成功的展示用戶的地方卻沒有加密，所以白帽子要更細心點。

第三點
一般評論處都會有一個追加評論功能和一個商家回復功能，那么此時如果對這個功能參數沒有加以加密，那么通過抓包游覽查看返回包就可看到追加評論的用戶信息和商家信息。

第四點
有些評論功能當中支持艾特(@)他人，那么在這個評論當中你通過@他人，然后輸入信息點擊發送到評論處時，通過抓包就可看到剛剛@的那個用戶的明文信息。

第五點
當這個網站評論地方被搜索引擎爬蟲到了，那么可以嘗試利用搜索命令site:XXXX.com inurl:XX目錄在搜索引擎當中搜索，如果加密不完全，那么就可以在搜索引擎當中看到明文信息。

b.轉賬處

第一點
很多大型公司都有自家的金融平台，然后在轉賬處，當你輸入對方的轉賬的賬戶，比如手機號或者郵箱，然后當你點擊其它地方，它會向服務器發送一條驗證信息，驗證輸入的此賬戶是否存在，如果存在，返回對應的手機號或者郵箱賬戶的用戶姓名，比如*王（1333333XXX）這樣的返回信息，那么如果此時前端加密不當，可以通過抓包攔截這條請求，查看返回信息，就可看到明文的姓名。

第二點
一般在轉賬處輸入手機號或郵箱賬戶的旁邊，有一個歷史轉賬信息，一個迷你的小頁面，當你點擊后會看到之前轉賬成功的信息，但是，如果此頁面加密不全，那么在點擊查看歷史轉賬信息時直接抓包查看返回內容就可看到明文的姓名。

c.搜索處

第一點
有些平台內置了搜索功能，跟搜索引擎思路很像，同樣也是隨意搜索，如果此時搜索的結果包含用戶信息這塊，那么就可能會導致用戶信息泄露問題。

d.個人頁面處

第一點
在個人頁面當中，直接游覽時直接抓包，查看返回包就可看到用戶信息是否未加密完全。比如一些金融APP，如果加密不當，當點擊個人界面時通過抓包查看返回包就可看到明文的身份證信息和用戶名以及手機號。
當然這里不是只有涉及金融APP方面的才會有這個問題，只要是可以查看個人頁面處都可能存在。

第二點
在查看銀行卡信息那里，一般都是加了密的，但查看銀行卡信息處時進行抓包查看返回包的時候就可看到明文的銀行卡卡號信息和姓名信息。

e.客服處

第一點
客服安全方面意思不足，大一點的來看就是公司沒有對客服進行安全培訓等，當你詢問客服某手機號對應的姓名時，客服就會直接把姓名發你，當然這要考驗你是怎么問的了，還有如果失敗了不要放棄，換一個客服繼續測試。

1.越權導致用戶信息泄露

a.任意查看

第一點
很多平台需要進行實名制認證，在上傳實名制所需要的身份證照片等信息圖片時，如果沒有對所產生的文件名格式進行復雜化的話，那么極有可能會存在任意查看，通過批量的方式就可以進行這些步驟，比如你上傳了圖片，服務器生成的圖片地址是XXX.com/xxx/xx/012313.jpg這樣短的數字格式文件名的話，就會存在該問題。

第二點
購物平台當中，在添加地址或修改地址的地方，如果權限沒過濾好，就可以越權進行查看任意用戶的地址信息。

第三點
在某些平台當中，支持添加子賬戶，然后隨便添加一個子賬戶，然后在查看該子賬戶的時候進行抓包，修改其ID值，就可以查看任意賬戶信息

第四點
有些平台有操作日志或其它日志功能，那么如果此時對當前用戶的權限過濾不當，那么就可以查看全部用戶操作時產生的日志，從而導致信息泄露。

第五點
在很多金融平台當中，在修改昵稱那里或者查看個人信息那里，提交時抓包，修改其用戶值為存在用戶的任意值，那么就可能造成查看任意用戶信息的問題。

第六點
如果你進入了一些內部員工平台，那么如果具有搜索功能，就比如你輸入了員工工號然后它會返回這個員工的所有在職信息，那么此時你可以通過抓包批量進行提交員工工號，就可造成大范圍的信息泄露。

第七點
隨便買一個東西生成訂單，如果此時權限控制不當，就可以越權查看到任意用戶的訂單，那么信息也自認而然的泄露出來了。

b.任意重置

第一點
如果權限控制不當，可導致任意用戶密碼修改的話，那么登錄后就可查看該用戶的任意信息，這也就導致了用戶信息泄露。

c.任意修改

第一點
在下單的時候修改其用戶ID為任意存在用戶的ID，然后下單，然后查看剛剛下單的信息，就可看到該用戶的收貨地址信息，只要對方設置了收貨地址。

2.接口方面的用戶信息泄露

第一點
很多業務網站在上線的時候都忘記把測試時的接口進行關閉，從而導致這個接口可以查詢大量用戶信息。那么此類接口怎么找呢？
其中之一的方法通過Github.com網站進行搜索相關域名進行查找。

3.注入方面的用戶信息泄露

第一點
注入可以說是非常非常的嚴重，因為注入往往都能得到很多信息，如果沒做好相關過濾以及防護，就可導致注入，從而數據庫內的各種數據面對裸露的危險。

2、服務器路徑信息泄露

1.上傳圖片處

第一點
在上傳圖片處，這里我說下最可能存在問題的點，就是關於上傳相關證明，進行實名制上傳信息等功能頁面，在上傳圖片時進行抓包，然后查看返回包，那么就可看到當前服務器的絕對路徑信息。

2.XML處

第一點
一些XML限制或刪除不完全，可導致服務器等信息泄露。

3.第三方的服務處

很多，如：Apache Tomcat、Struts2、CMS、zabix、Nginx等等，例如Nginx的某版本解析漏洞，就可造成路徑信息泄露。

4.利用報錯問題

在處理報錯信息的問題上如果處理不當，就可導致路徑信息泄露，比如訪問一些不存在的文件等思路。

3、員工信息泄露

1.各第三方平台當中

第一點
Github，很不錯的開源社區平台。一些員工喜歡將自己的信息上傳到這平台上，但是往往忽視了安全，有時這上傳的代碼當中就可能包含很多內部測試員工的賬戶以及密碼信息等。

第二點
在搜索QQ群那里，通過搜索企業昵稱，往往都可以搜索出來關於企業員工或企業方面的信息，一般都會貼在公告當中，比如某某測試賬戶等。
當然，你也可以申請加入群進行查看群文件，看是否有銘感的信息。

第三點
百度貼吧當中，一般都有公司員工創建的貼吧，如果安全意思不足，那么就會泄露相關員工工號，可用作暴力破解的字典。

2.弱密碼問題

第一點
在一些涉及內部員工方面的系統，如果員工密碼為弱密碼，那么就可通過暴力破解方式進行嘗試登錄，如果成功爆破到了員工賬戶，那么一般只要是內部員工系統該賬戶都可以登錄，那么所造成的影響也是很大的。

4、數據庫信息以及服務器信息泄露

1.各第三方平台

第一點
Github，一些員工如果安全意識不足，同樣上傳的代碼當中就包含了數據庫連接信息以及服務器信息。

第二點
利用搜索QQ群的思路，如果員工的安全意識不足，那么數據庫連接信息以及服務器信息就會在公告或群文件當中

2.XML處

第一點
同樣在XML文件當中，也可能會發現數據庫連接信息以及服務器信息。

3.svn處

第一點
svn是一個開放源代碼的版本控制系統，如果沒有加以限制或者刪除，那么就可以游覽相關的比較隱蔽性的源碼。

4.數據庫文件

第一點
一些數據庫相關文件如果刪除不當或者擺放位置不當，那么極有可能被下載下來，造成危害。

5.其他文件

第一點
比如其它類型的文件，如Txt、Doc、Excel等文件，如果包含銘感信息，那么危害也是顯而易見的。

二、app的信息泄露

1、敏感域名信息泄露

1.本地文件

一些比較隱私性的域名可能會包含在APP本地文件當中，比如某內部員工登錄系統的APP，但是由於有證書校驗，你也抓不到數據包，此時你可以查看該APP的本地文件，然后就可看到本APP內調用的是哪些域名，然后還有相關的域名。

2、密碼泄露

第一點
手勢密碼也存在在本地文件當中，如果沒最好相關校驗或加密，那么手勢密碼就可能會泄露並且被利用。

第二點
一些APP問題就是把用戶登錄的信息保存在本地，而且賬戶密碼都是以明文保存在本地文件或本地Sqlite數據庫當中，很容易被利用。

第三點
一些APP也會把登錄成功的Cookie保存在本地，那么只要找到相關文件復制下來這個Cookie，就可以任意登錄了。