24.【转载】挖洞技巧：信息泄露之总结

信息漏洞的危害涉及到企业和用户，一直以来都是高风险的问题，本文章就两个方向进行讲述挖掘信息泄露的那些思路。

Web方面的信息泄露

0x01  用户信息泄露

①：评论处

• 通常用户评论处用户的信息都是加密的，好比显示的是用户手机号或邮箱等，就会直接对中间的一段数字进行加密，可是有些可能就没有加密，而是直接显示出来，那么这就形成了用户信息泄露问题。

• 若是加密不当，直接游览用户评论处时进行抓包，而后查看返回包就能够直接看到明文，但有的时候会有2个参数，就好比name：1333******1这个值是加密的，但后面还会有一个testname这个参数就没有进行加密，从而致使用户信息泄露。

  这里有一些小技巧，就好比一个买卖市场，他有用户评论的地方，有一个秒杀抢购成功的展现用户的地方，还有一个是用户相互交流的地方，通常白帽子测试了第一个功能处发现不存在问题，而后就不继续测试其它相同功能处了，这个疏忽就可能会致使错过一个发现问题的机会，每一个功能处，加密机制有时候就会被漏掉，就好比用户评论处用户信息加了密，可是秒杀抢购成功的展现用户的地方却没有加密，因此白帽子要更细心点。

• 通常评论处都会有一个追加评论功能和一个商家回复功能，那么此时若是对这个功能参数没有加以加密，那么经过抓包游览查看返回包就可看到追加评论的用户信息和商家信息。

• 有些评论功能当中支持艾特(@)他人，那么在这个评论当中你经过@他人，而后输入信息点击发送到评论处时，通关抓包就可看到刚刚@的那个用户的明文信息。

• 当这个网站评论地方被搜索引擎爬虫到了，那么能够尝试利用搜索命令site:XXXX.com inurl:XX目录在搜索引擎当中搜索，若是加密不彻底，那么就能够在搜索引擎当中看到明文信息。

  关于这类的信息泄露问题我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html

②：转帐处

• 不少大型公司都有自家的金融平台，而后在转帐处，当你输入对方的转帐的帐户，好比手机号或者邮箱，而后当你点击其它地方，它会向服务器发送一条验证信息，验证输入的此帐户是否存在，若是存在，返回对应的手机号或者邮箱帐户的用户姓名，好比*王（1333333XXX）这样的返回信息，那么若是此时前端加密不当，能够经过抓包拦截这条请求，查看返回信息，就可看到明文的姓名。

  关于这类问题，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

• 通常在转帐处输入手机号或邮箱帐户的旁边，有一个历史转帐信息，一个迷你的小页面，当你点击后会看到以前转帐成功的信息，可是，若是此页面加密不全，那么在点击查看历史转帐信息时直接抓包查看返回内容就可看到明文的姓名。

③：搜索处

• 有些平台内置了搜索功能，跟搜索引擎思路很像，一样也是随意搜索，若是此时搜索的结果包含用户信息这块，那么就可能会致使用户信息泄露问题。

  关于这类问题，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html
  

④：我的页面处

• 在我的页面当中，直接游览时直接抓包，查看返回包就可看到用户信息是否未加密彻底。好比一些金融APP，若是加密不当，当点击我的界面时经过抓包查看返回包就可看到明文的身份证信息和用户名以及手机号。

  固然这里不是只有涉及金融APP方面的才会有这个问题，只要是能够查看我的页面处均可能存在。

• 在查看银行卡信息那里，通常都是加了密的，但查看银行卡信息处时进行抓包查看返回包的时候就可看到明文的银行卡卡号信息和姓名信息。
  

⑤：客服处

• 这个问题属于客服安全方面意思不足，大一点的来看就是公司没有对客服进行安全培训等，当你询问客服某手机号对应的姓名时，客服就会直接把姓名发你，固然这要考验你是怎么问的了，还有若是失败了不要放弃，换一个客服继续测试。

‘

越权方面的用户信息泄露：

①：任意查看

• 不少平台须要进行实名制认证，在上传实名制所须要的身份证照片等信息图片时，若是没有对所产生的文件名格式进行复杂化的话，那么极有可能会存在任意查看，经过批量的方式就能够进行这些步骤，好比你上传了图片，服务器生成的图片地址是XXX.com/xxx/xx/012313.jpg这样短的数字格式文件名的话，就会存在该问题。

• 购物平台当中，在添加地址或修改地址的地方，若是权限没过滤好，就能够越权进行查看任意用户的地址信息。

• 在某些平台当中，支持添加子帐户，而后随便添加一个子帐户，而后在查看该子帐户的时候进行抓包，修改其ID值，就能够查看任意帐户信息

• 有些平台有操做日志或其它日志功能，那么若是此时对当前用户的权限过滤不当，那么就能够查看所有用户操做时产生的日志，从而致使信息泄露。

• 在不少金融平台当中，在修改昵称那里或者查看我的信息那里，提交时抓包，修改其用户值为存在用户的任意值，那么就可能形成查看任意用户信息的问题。

• 若是你进入了一些内部员工平台，那么若是具备搜索功能，就好比你输入了员工工号而后它会返回这个员工的全部在职信息，那么此时你能够经过抓包批量进行提交员工工号，就可形成大范围的信息泄露。

• 随便买一个东西生成订单，若是此时权限控制不当，就能够越权查看到任意用户的订单，那么信息也自认而然的泄露出来了。

  关于这方面，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html
  

②：任意重置

• 若是权限控制不当，可致使任意用户密码修改的话，那么登陆后就可查看该用户的任意信息，这也就致使了用户信息泄露。

③：任意修改

• 在下单的时候修改其用户ID为任意存在用户的ID，而后下单，而后查看刚刚下单的信息，就可看到该用户的收货地址信息，只要对方设置了收货地址。

接口方面的用户信息泄露：

• 不少业务网站在上线的时候都忘记把测试时的接口进行关闭，从而致使这个接口能够查询大量用户信息。那么此类接口怎么找呢？

  其中之一的方法经过Github.com网站进行搜索相关域名进行查找。

  关于这类问题，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html
  

注入方面的用户信息泄露：

• 注入能够说是很是很是的严重，由于注入每每都能获得不少信息，若是没作好相关过滤以及防御，就可致使注入，从而数据库内的各类数据面对裸露的危险。

 

0x02  服务器路径信息泄露

①：上传图片处

• 在上传图片处，这里我说下最可能存在问题的点，就是关于上传相关证实，进行实名制上传信息等功能页面，在上传图片时进行抓包，而后查看返回包，那么就可看到当前服务器的绝对路径信息。

②：XML处

• 一些XML限制或删除不彻底，可致使服务器等信息泄露。

  详细例子 : http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0123762.html
  

③：第三方的服务当中

• 不少，如：Apache Tomcat、Struts二、CMS、zabbix、Nginx等等，例如Nginx的某版本解析漏洞，就可形成路径信息泄露。

  关于这方面我找到了相关例子:

  http://wooyun.jozxing.cc/static/bugs/wooyun-2013-019253.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2012-04655.html
  

④：利用报错问题

• 在处理报错信息的问题上若是处理不当，就可致使路径信息泄露，好比访问一些不存在的文件等思路。

          这里我找到了相关例子：

          http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.html

          http://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

 

 0x03  员工信息泄露

①：各第三方平台当中

• Github，很不错的开源社区平台。一些员工喜欢将本身的信息上传到这平台上，可是每每忽视了安全，有时这上传的代码当中就可能包含不少内部测试员工的帐户以及密码信息等。

  关于这方面我找到了相关例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0177720.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164337.html

• 在搜索QQ群那里，经过搜索企业昵称，每每均可以搜索出来关于企业员工或企业方面的信息，通常都会贴在公告当中，好比某某测试帐户等。

  固然，你也能够申请加入群进行查看群文件，看是否有敏感的信息。

  这里我找到了相关例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0128511.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-093927.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0208105.html

• 百度贴吧当中，通常都有公司员工建立的贴吧，若是安全意思不足，那么就会泄露相关员工工号，可用做暴力破解的字典。

②：弱密码问题

• 在一些涉及内部员工方面的系统，若是员工密码为弱密码，那么就可经过暴力破解方式进行尝试登陆，若是成功爆破到了员工帐户，那么通常只要是内部员工系统该帐户均可以登陆，那么所形成的影响也是很大的。

 

0x04  数据库信息以及服务器信息泄露

①：各第三方平台当中

• Github，一些员工若是安全意识不足，一样上传的代码当中就包含了数据库链接信息以及服务器信息。
  

  关于这类问题，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html

• 利用搜索QQ群的思路，若是员工的安全意识不足，那么数据库链接信息以及服务器信息就会在公告或群文件当中

②：XML处

• 一样在XML文件当中，也可能会发现数据库链接信息以及服务器信息。

③：svn处

• svn是一个开放源代码的版本控制系统，若是没有加以限制或者删除，那么就能够游览相关的比较隐蔽性的源码。

  关于这类的问题，我找到了相关例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0199607.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191202.html
  

④：数据库文件

• 一些数据库相关文件若是删除不当或者摆放位置不当，那么极有可能被下载下来，形成危害。

  关于这方面，我找到了相关例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0158556.html
  

⑤：其它文件

• 好比其它类型的文件，如Txt、Doc、Excel等文件，若是包含铭感信息，那么危害也是显而易见的。

 

APP方面的信息泄露

0x01 敏感域名泄露

①：本地文件当中

第一点：

一些比较隐私性的域名可能会包含在APP本地文件当中，好比某内部员工登陆系统的APP，可是因为有证书校验，你也抓不到数据包，此时你能够查看该APP的本地文件，而后就可看到本APP内调用的是哪些域名，而后还有相关的域名。

从APP内提取域名的相关程序不少，Github不少，这里我提供一个某做者写的Windows下的工具吧，须要Net环境哦，下载地址：

https://pan.baidu.com/s/1slJaYnF

第二点：

你们可能喜欢用Burpsuite进行抓包，但配置相关证书的过程中会很不顺利，或者有时抓不到相关信息

那么我推荐一款工具，免Root抓包工具，能够抓Https的数据包

下载地址：https://pan.baidu.com/s/1jKou83W        密码:rh5i

以上就是关于App方面的信息收集

 

0x02 密码泄露

• 手势密码也存在在本地文件当中，若是没最好相关校验或加密，那么手势密码就可能会泄露而且被利用。

• 一些APP问题就是把用户登陆的信息保存在本地，并且帐户密码都是以明文保存在本地文件或本地Sqlite数据库当中，很容易被利用。

  这里我找到了相似的例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02915.html

• 一样，一些APP也会把登陆成功的Cookie保存在本地，那么只要找到相关文件复制下来这个Cookie，就能够任意登陆了。

固然，访问这些文件是须要ROOT权限的，以上就是APP方面的信息泄露问题了！

 

 
 

强力链接：https://www.secpulse.com/archives/67123.html