敏感信息泄漏简述
攻击方式
常见的攻击方式主要是扫描应用程序获取到敏感数据
漏洞原因
应用维护或者开发人员无意间上传敏感数据,如 github 文件泄露
敏感数据文件的权限设置错误,如网站目录下的数据库备份文件泄露
网络协议、算法本身的弱点,如 telent、ftp、md5 等
漏洞影响
应用程序、网站被修改
个人资料、公司资料泄露,被用于售卖获利
漏洞防护
对于 github 泄露,定期对仓库扫描
对于应用网站目录定期扫描
使用强壮的网络协议与算法
实施传输层安全性 (TLS) 以保护传输中的数据
尽可能避免存储敏感数据,或存储时间超过所需时间
加密所有需要存储的静态数据
通过 HTTP 严格传输安全 ( HSTS ) 或类似指令强制加密
不要缓存包含敏感数据的用户响应
对数据进行分类(处理、存储或传输)并根据分类应用控制
实施强大的标准算法、协议和密钥
使用哈希函数,例如 brcrypt、scrypt、Argon2、PBKDF2,这些函数总是对密码进行加盐和哈希处理
icanseeyourABC
根据提示,find abc,直接访问abc.php
成功登录
在登录界面查看源代码,发现测试账号
lili/123456
文章来源:https://www.toymoban.com/news/detail-487543.html
也能成功登录 文章来源地址https://www.toymoban.com/news/detail-487543.html
到了这里,关于pikachu靶场-敏感信息泄露的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![大唐电信AC集中管理平台敏感信息泄漏漏洞复现 [附POC]](https://imgs.yssmx.com/Uploads/2024/02/715423-1.png)
