IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> 11-1目录遍历和敏感信息泄露原理及案例演示 -> 正文阅读

[网络协议]11-1目录遍历和敏感信息泄露原理及案例演示

目录遍历漏洞概述
 在web功能设计中,很多时候我们会要将需要访问的文件定义成变量,从而让前端的功能变的更加灵活。 当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。 在这个过程中,如果后台没有对前端传进来的值进行严格的安全考虑,则攻击者可能会通过“../”这样的手段让后台打开或者执行一些其他的文件。 从而导致后台服务器上其他目录的文件结果被遍历出来,形成目录遍历漏洞。
?    看到这里,你可能会觉得目录遍历漏洞和不安全的文件下载,甚至文件包含漏洞有差不多的意思,是的,目录遍历漏洞形成的最主要的原因跟这两者一样,都是在功能设计中将要操作的文件使用变量的 方式传递给了后台,而又没有进行严格的安全考虑而造成的,只是出现的位置所展现的现象不一样,因此,这里还是单独拿出来定义一下。 
?    需要区分一下的是,如果你通过不带参数的url(比如:http://xxxx/doc)列出了doc文件夹里面所有的文件,这种情况,我们成为敏感信息泄露。 而并不归为目录遍历漏洞。(关于敏感信息泄露你你可以在"i can see you ABC"中了解更多) 
?    你可以通过“../../”对应的测试栏目,来进一步的了解该漏洞。 

其实在我们的测试过程当中,关键点就是用…/…/,这样的操作去进行目录跳转,从而去获取我们想要的文件

在linux里面,我们可以用…/…/来做跳转,比如说,

cd ../../../../../../../../../../../../../../../

在这里插入图片描述

最终会跳到根目录下面去,然后我们在以根目录为起始点,去拼接一些,我们要的东西,

cd ../../../../../../../../../../../../../../../etc

在这里插入图片描述

这是一个操作,在目录遍历下面,我们可以来看一下

这边有个超链接,我们点一下,其实是传了个文件名到后台,后台呢,去对这个文件进行读取,我们可以通过…/让它去读其它的文件,多敲…/,因为最终你敲的越多,它最终都会跳到根路径下面去,然后我们在以根路径为起始点,去读其它的文件

http://192.168.42.236/pikachu/vul/dir/dir_list.php?title=../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../../1.txt

在这里插入图片描述

这里就可以把password文件给读出来,这种情况,我们就称为目录遍历,目录遍历实际上也是前端传进来的文件或者路径,到后端之后,后端没有进行严格的处理,然后直接拼接到路径里面,然后导致我们通过…/…/来让后台访问一些非预期的目标文件,这跟我们之前讲的文件包含,还是文件下载,都有点像

实际上,它形成的原因都是一样的,都是我们前端将对应的参数,传到后台之后,后台没有进行严格的处理,只是说,目录遍历问题,强调的是,我们可以通过…/…/来进行相关的目录跳转,所以说,这里还是单独拿出来定义了一下

我们接下来看一下敏感信息泄露

    由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。 比如:
    ---通过访问url下的目录,可以直接列出目录下的文件列表;
    ---输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;
    ---前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;
    类似以上这些情况,我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。 因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。 

敏感信息起源于后台的敏感数据,所有这些重要数据,比如用户信息,原始代码,或者账号密码这样的东西,都不应该公开到互联网上去,但是因为我们的开发人员在开发的时候,一些相关的配置,写的不够恰当,或者说,没有对相关的数据进行处理,导致一些信息通过页面,通过接口,暴露到前端,这样就导致了,我们后端的敏感信息泄露,这里,我们把它拿出来定义,主要是为了大家在安全测试当中,可以从这个角度,发现一些问题,然后属于不该暴露的信息,被暴露到了前端,其实是属于一个漏洞,敏感信息泄露泄露出来的信息,有可能对企业造成比较大的危害

我们通过一个案例来了解一下

在这里插入图片描述

首先这边有个登录选项,我们可以看一下源代码,一般来说,我们开发人员在写完代码之后,他应该把前端的相关注释给去掉的

在这里插入图片描述

如果说,他把重要的信息写到了代码里面,有可能就会被前端用户发现,搜索测试

在这里插入图片描述

这里写了个测试账号,有可能是为了自己备注用的,但是他没有想到前端的测试代码是可以直接被看到的,这样就把测试账号密码给泄露出来了,这只是一个方面,那另外就是前端的cookie信息,cookie设计不当也会导致我们信息泄露,比如说,我们下面进行登录

在这里插入图片描述

登录之后,我们看一下会有个登录页面,在网络里面,我们重新载入一下,看一下对应的请求,cookie

在这里插入图片描述

在cookie里面,会有密码字段,虽然是hash之后的密文,但是他直接把他显示到了前端,这样其实也是不妥的做法,如果说,刚好你的hash算法,密码是比较弱的,就是md5,拿这个值直接去破解一下,就会拿到lili的明文密码

刚刚我们举了一个相关的例子,让大家知道说,从那些角度去看,我们后台的一些相关敏感信息有没有泄露出来

还有一个常见的是,我们的中间键导致的

在这里插入图片描述

这台机器后台是用apache搭的,然后这个apache的配置是有问题的,它采用了默认配置,会导致它相关的目录,可以直接访问,这种情况,它会把后端的目录结果直接列出来,虽然说你点这个php代码,它会返回到页面上面来

如果说下面有敏感信息,攻击者,可以直接通过目录访问的方式,获取到对应的信息,同时在页面上,它还会把中间键的版本、操作系统的版本、openssl的版本、php版本等等这些信息全部给打出来,这样攻击者,就可以去找一下这些版本有没有公开的漏洞,然后针对性的做一些攻击,这些都是属于敏感信息泄露

我们主要是通过前端的一些相关信息,cookie或者对应的报错里面,然后来查找有没有泄露相关的敏感信息

我们可以把所有的错误信息给屏蔽掉,只返回一些标准的错误页面,然后对注释进行统一的处理,像后台登录地址、内网接口等等这些我们不要向互联网开放,做好对应的访问控制,还有我们企业内部的源代码,比如源代码里面包含连接数据库的地址账号等等,像这些源代码,我们不要轻易的把它公布到互联网上去,比如说,把它放到github这些平台上去,这些都是不合理的做法,会给攻击者留下相关的信息,然后扩大攻击面

主要是为了让大家知道这两个漏洞的操作,让大家主动的去测试和发现

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-05-21 19:17:01  更:2022-05-21 19:18:29 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 11:31:43-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计