"""本人网安小白,此贴仅作为记录我个人测试的思路、总结以便后期复习;今后本着少就是多,慢就是快的方式一步一个脚印进行学习,把这个知识点学扎实了,再学另外一个知识点。费曼教授是不是曾经说过以教代学是最好的学习方式?有很多错点可圈可指,所以也请dalao指出不对的地方,所谓教他人的时候也是在稳固自身"""
未做严格排版,后面有时间了再来整理整理
Ps:靶机链接:https://blog.youkuaiyun.com/qq_35258210/article/details/112465795
这关卡内容有点少,搬了个pikachu里的敏感信息泄露概述来充充数!
敏感信息泄露概述:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。 比如: ---通过访问url下的目录,可以直接列出目录下的文件列表; ---输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息; ---前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等; 类似以上这些情况,我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。 因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。 你可以通过“i can see your abc”对应的测试栏目,来进一步的了解该漏洞。
首先上来看到一个账号密码输入框
我们输入admin/123456
显示账号错误,点击提示,让我们找找看很多漏点
查看前端源代码发现敏感信息,测试账号及密码
成功登陆测试账号密码
不登陆的情况下url改下也能进入到登录后的界面
扫一扫
2945
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
