敏感信息

在业务系统中的保密性要求较高的数据,通常包括系统敏感信息和引用敏感信息。系统敏感信息指的是业务系统本身的基础环境信息,比如系统信息,中间件版本之类的,一旦泄露可能可以协助攻击者提供更多的攻击途径和方法;应用敏感信息指的是应用中存储的重要业务数据,比如用户注册时提供的一些信息,身份证、姓名、电话号码等,泄露后可能会对应用的用户带来危害。

产生原因:
<1>系统帮助页面泄露中间件版本网站绝对路径等信息,造成敏感信息泄露
<2>系统信息过于详细,把后台数据库信息,中间件版本信息暴露

<3>客户端代码注释有可能泄露系统敏感信息,对一些核心代码进行技术注释也有可能会帮助攻击者解读代码,为攻击者提供便利,通常要求客户端代码不能包含注释,尤其是不能包含核心代码的技术注释,

<4>不安全的错误处理方法可能泄露系统或应用的敏感信息,手工测试的过程中应留意各类错误信息,如果发现错误信息中包含系统或应用敏感信息,则进行记录。

漏洞危害:攻击者可以利用收集的敏感信息有针对性的指定计划对系统进行攻击。
项目实例:
<1>系统帮助页面暴露服务器和数据库版本信息等

<2>帮助控件返回json格式的user表所有字段,包括用户名,身份证号,手机等。

<3>tomcat版本泄露,错误信息泄露了包名、开发框架等

<4>tomcat管理目录泄露

<5>tomcat样例目录泄露

测试方法:
<1>通过在http请求的各输入参数中填充各类特殊字符,检查返回页面信息是否包含可利用的敏感信息。
<2>客户端的日志文件/cookie/js文件/配置文件/URL中。
<3>客户端的程序功能中暴露敏感信息如密码。
<4>通信传输中。
<5>数据库中的字段值明文显示,测试数据库中是否有明文保存的用户隐私信息、身份认证信息等。
<6>中间件敏感信息泄露

防护建议:
<1>敏感数据不应该直接在网页里使用<!---->作为注释,因为网页的源代码可查看
<2>不要将敏感数据直接在js中用//或/**/注释,因为JS对用户端而言是明文(检查JS文件)
<3>不要为了增加效率或使用友好性,在未完成身份验证前就将资料下载到用户端
<4>存储敏感数据时应加密
<5>敏感数据如非必要,不要利用隐藏域或cookie传递、交换,建议改用server端的session机制
<6>程序如果发生错误,不要将错误信息直接显示给客户,设置返回特定的报错页面。并将错误信息写到服务端log里,供开发维护人员分析使用
<7>tomcat管理目录及样例目录如不需要,建议删除,example应用可向网站写入有效session,黑客可用于绕过网站验证机制直接登录后台,把Tomcat的默认示例文件、帮助文件、后台管理界面等进行删除,可以有效避免Tomcat应用信息泄露。
<8>修改显示的tomcat版本信息,隐藏真实的版本。
进入tomcat的lib目录找到catalina.jar文件,unzip catalina.jar之后会多出META-INF、org两个文件夹,进入org/apache/catalina/util编辑配置文件serverinfo.properties,修改server.info、server.number参数值,隐藏tomcat版本信息。
<9>开启数据库限制IP访问功能
--采用白名单方式,允许访问数据库的IP地址列表,多个IP地址使用逗号分开
--采用黑名单方式,禁止访问数据库的IP地址列表,多个IP地址使用逗号分开

应急响应-敏感信息泄露怎么解决?相关推荐

  1. 基于机器学习的敏感信息泄露治理探索

    文|宙斯盾流量安全分析团队 晨晨.彦修 背景 企业数据包含着用户个人信息.隐私信息.商业敏感数据等,一旦泄漏,会给企业带来巨大的经济损失,甚至承担相关法律责任和巨额罚款.因此,如何保障企业存储的各类敏 ...

  2. 【web渗透思路】框架敏感信息泄露(特点、目录、配置)

    前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...

  3. Goby漏洞更新 | MinIO verify 接口敏感信息泄露漏洞(CVE-2023-28432)

    Goby预置了最具攻击效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞.每天从互联网(如CVE)会产生大量的漏洞信息,我们筛选了会被用于真实攻击的漏洞进行每日更新.Goby也提供了可以自 ...

  4. 【转】Android应用开发allowBackup敏感信息泄露的一点反思

    转载:http://blog.csdn.net/yanbober/article/details/46417531 1 背景 其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的 ...

  5. 数据库服务敏感信息泄露

      数据库服务敏感信息泄露 2 详细描述 检测到服务器返回的页面信息中包含数据库错误信息,这是由于web应用程序没有正确处理用户输入和处理数据库异常导致的.通过数据库错误信息可以得知后台数据库类型,甚 ...

  6. Web应用防火墙的敏感信息泄露保护功能可以防护哪些敏感数据泄漏?

    背景信息 防敏感信息泄漏功能是Web应用防火墙针对<网络安全法>提出的"网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露.毁损.丢失.在发生或者可 ...

  7. 致远OA敏感信息泄露漏洞合集(含批量检测POC)

    文章目录 前言 敏感信息泄露 A6 status.jsp 信息泄露漏洞 漏洞描述 漏洞影响 网络测绘 漏洞复现 POC 批量检测 getSessionList.jsp Session泄漏漏洞 漏洞描述 ...

  8. win2008r2用户账户控制什么意思_敏感信息泄露+IDOR+密码确认绕过=账户劫持

    今天分享的这篇Writeup是作者在HackerOne上某个邀请测试项目的发现,目标网站存在不安全的访问控制措施,可以利用其导致的敏感信息泄露(auth_token) +密码重置限制绕过,以越权(ID ...

  9. Spring Boot框架敏感信息泄露的完整介绍与SRC实战(附专属字典与PoC)

    转载于:https://www.freebuf.com/vuls/289710.html #前言 ##Spring Boot框架介绍 Spring框架功能很强大,但是就算是一个很简单的项目,我们也要配 ...

最新文章

  1. 人为「刷」论文引用量,IEEE高级会员被终身“禁赛”,奖项被撤销
  2. ADO.NET Entity Framework -Code Fisrt (二)
  3. 【收藏】goland报错:报错package xxx is not in GOROOT or GOPATH 或者 cannot find package “xxx“ in any of
  4. MapReduce 计数器简介(转载自:http://www.tuicool.com/articles/qqyIBr)
  5. 【SCOI2005】【BZOJ1087】互不侵犯King(状压dp)
  6. 经典面试题(4):use strict 有什么意义和好处?
  7. Aligned TripletLoss
  8. docker 远程连接 文件看不到_Java 开发提升十倍生产力:IDEA 远程一键部署 Spring Boot 到 Docker...
  9. 重学JavaScript系列之一_引用类型
  10. LED —— 发光二极管
  11. php结构的项目,ThinkPHP修改项目结构
  12. 前端-----小米商城模块练习
  13. html中如何把两行合并单元格,css合并两列单元格内容
  14. 笔记本电脑无法进入睡眠状态_小方法解决电脑无法进入睡眠模式问题
  15. Redis 到底是怎么实现“附近的人”这个功能的呢?
  16. 前端的性能优化-笔记
  17. laravel 分页查询
  18. ADS3 Inverted File Index
  19. CO-PA: 获利能力分析数据的传送(日常业务)
  20. Windows11设置登录密码

热门文章

  1. 2、yaml语法注解
  2. 【pwn】2022 极客大挑战
  3. jquery设置cursor的属性改变光标的类型(形状)
  4. 游戏项目管理经验方法
  5. 【强化学习论文合集】十八.2019国际表征学习大会论文(ICLR2019)
  6. 关于tools:ignore=“Suspicious0dp“的问题父类定向为竖向时,别横向等分父类的高
  7. modis数据简介及批处理工具
  8. XShell 上传文件时 乱码问题
  9. 常用的keytool命令
  10. npm使用国内淘宝镜像的方法(两种)