[红日安全]Web安全Day11 - 敏感信息泄露实战

本文由红日安全成员： 爱夕 编写，若有不当，还望斧正。

你们好，咱们是红日安全-Web安全***小组。此项目是关于Web安全的系列文章分享，还包含一个HTB靶场供你们练习，咱们给这个项目起了一个名字叫 Web安全实战 ，但愿对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法（手工测试，工具测试）-靶场测试（分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场所有涵盖）-实战演练（主要选择相应CMS或者是Vulnhub进行实战演练)，若是对你们有帮助请Star鼓励咱们创做更好文章。若是你愿意加入咱们，一块儿完善这个项目，欢迎经过邮件形式（sec-redclub@qq.com）联系咱们。

0x01 漏洞简介

敏感数据包括但不限于：口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、受权凭据、我的数据(如姓名、住址、电话等)等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。主要分为由版本管理软件致使的泄露, 文件包含致使的泄露和配置错误致使的泄露.

0x02 漏洞原理

因为后台人员的疏忽或者不当的设计，致使不该该被前端用户看到的数据被轻易的访问到。 好比：

• 经过访问url下的目录，能够直接列出目录下的文件列表;

• 输入错误的url参数后报错信息里面包含操做系统、中间件、开发语言的版本或其余信息;

• 前端的源码（html,css,js）里面包含了敏感信息，好比后台登陆地址、内网接口信息、甚至帐号密码等;

相似以上这些状况，咱们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞，但这些敏感信息每每给***着实施进一步的***提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接形成严重的损失。 所以,在web应用的开发上，除了要进行安全的代码编写，也须要注意对敏感信息的合理处理。

二、手工挖掘，根据web容器或者网页源代码的查看，找到敏感信息。

0x03 漏洞危害

1. 扫描内网开放服务

2. 向内部任意主机的任意端口发送payload来***内网服务

3. DOS***（请求大文件，始终保持链接Keep-Alive Always）

4. ***内网的web应用，例如直接SQL注入、XSS***等

5. 利用file、gopher、dict协议读取本地文件、执行命令等

0x04 测试方法

一、检测形式多样，工具爬虫扫描获得敏感文件的路径，从而找到敏感数据，主要是仍是经过关键词爆破。

二、手工挖掘，根据web容器或者网页源代码的查看,Github，找到敏感信息。

软件敏感信息

操做系统版本

• 可用nmap扫描得知

中间件的类型、版本

• http返回头

• 404报错页面

• 使用工具（如whatweb）
  web程序（cms类型及版本、敏感信息）

• 可用whatweb、cms_identify

  Web敏感信息

• phpinfo()信息泄露
  　　http://[ip]/test.php和http://[ip]/phpinfo.php

• 测试网页泄露在外网
  　　test.cgi、phpinfo.php、info.php等

• 编辑器备份文件泄漏在外网
  　　http://[ip]/test.php.swp
  　　http://[ip]/test.php.bak
  　　http://[ip]/test.jsp.old
  　　http://[ip]/cgi~
  　　常见编辑器备份后缀

• 版本管理工具（如git）文件信息泄露
  　　http://[ip]/.git/config
  　　http://[ip]/CVS/Entriesp
  　　http://[ip]/.svn/entriesp

• HTTP认证信息泄露
  　　http://[ip]/basic/index.php
  　　we目录开启了HTTP Basic认证，但未限制IP，致使可暴力破解帐号，密码

• 管理后台地址泄露
  　　http://[ip]/login.php
  　　http://[ip]/admin.php
  　　http://[ip]/manager.php
  　　http://[ip]/admin_login.php

• 泄露员工邮箱、分机号码
  　　泄露邮箱及分机号码可被社工、也可生成字典。

• 错误页面暴露信息
  　　mysql错误、php错误、暴露cms版本等

• 探针文件

• robots.txt

• phpMyAdmin

• 网站源码备份文件(www.rar/sitename.tar.gz/web/zip等)

• 其余

网络信息泄露

DNS域传送漏洞运维监控系统弱口令、网络拓扑泄露、zabbix弱口令、zabbix sql注入等

第三方软件应用

github上源码、数据库、邮箱密码泄露
　　搜相似：smtp 163 password关键字百度网盘被员工不当心上传敏感文件
*QQ群被员工不当心上传敏感文件

敏感信息搜集工具

https://github.com/ring04h/weakfilescan
https://github.com/lijiejie/BBScan
whatweb
dnsenum
github

0x05 实战演示

1）敏感文件泄露

URL=https://game.gtimg.cn/hosts

以前在腾讯的图床站发现了腾讯的内网hosts文件暴露在公网上。

2）帐号密码泄露

右键查看源代码发现测试帐号

登录成功

3）错误处理测试

不安全的错误处理方法可能泄露系统或应用的敏感信息，手工测试的过程当中应留意各种错误信息，若是发现错误信息中包含系统或应用敏感信息，则进行记录。就和显错注入同样

0x06 漏洞修复

一、禁止在代码中存储敏感数据：禁止在代码中存储如数据库链接字符串、口令和密钥之类的敏感数据，这样容易致使泄密。用于加密密钥的密钥能够硬编码在代码中。

二、禁止密钥或账号的口令以明文形式存储在数据库或者文件中：密钥或账号的口令必须通过加密存储。例外状况，若是Web容器的配置文件中只能以明文方式配置链接数据库的用户名和口令，那么就不用强制遵循该规则，将该配置文件的属性改成只有属主可读写。

三、禁止在cookie中以明文形式存储敏感数据：cookie信息容易被窃取，尽可能不要在cookie中存储敏感数据；若是条件限制必须使用cookie存储敏感信息时，必须先对敏感信息加密再存储到cookie。

四、禁止在隐藏域中存放明文形式的敏感数据。

五、禁止用本身开发的加密算法，必须使用公开、安全的标准加密算法。

六、禁止在日志中记录明文的敏感数据：禁止在日志中记录明文的敏感数据(如口令、会话标识jsessionid等)，防止敏感信息泄漏。

七、禁止带有敏感数据的Web页面缓存：带有敏感数据的Web页面都应该禁止缓存，以防止敏感信息泄漏或经过代理服务器上网的用户数据互窜问题。

八、应根据业务特色定义出系统存储的敏感信息。

九、敏感信息在存储、传输、显示时应进行安全处理，可采用的处理方式为加密或脱敏。

十、敏感信息不该使用GET方式提交到服务器。

十一、用户密码为最高级别的敏感信息，在存储、传输、显示时都必须加密。

十二、须要选择可靠的加密算法，优先选择不对称加密算法，不得使用BASE64等编码方式进行“加密”

1三、对于一些系统默认报错页面应从新进行设计自定义报错页面，以避免暴露系统敏感信息。