敏感信息泄露

雲暢 2023-03-23 13:07:44

课时名称	课时知识点
敏感信息泄露	通过课程学习敏感信息泄露的各种类型及如果发现它

...全文

105 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

1敏感信息泄露概述由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到。比如： —通过访问url下的目录，可以直接列出目录下的文件列表; —输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息; —前端的源码（html,css,js）里面包含了敏感信息，比如后台登录地址、内网接口信息、甚至账号密码等; 类似以上这些情况，我们成为敏感信息泄露。敏感信息泄露虽然一直被评为危害比较低的漏洞，但这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“

敏感信息泄露由于后台人员的疏忽或者设计不当，导致不应该被前端用户看到的数据被轻易地访问到。如： 1、通过访问 url 下的目录，可以直接列出目录下的文件列表； 2、输入错误的 url 参数后报错信息里面包含操作信息、中间件、开发语言的版本或其他信息； 3、前端的源码（html，css，js）里面包含了敏感信息，比如后台登录地址、内网接口信息、甚至账号密码等。像这些情况，就是敏感信息泄露。敏感信息被认为是危险较低的漏洞，但这些敏感信息往往给攻击者实施进一步攻击提供了很大的帮助。下面通过 pika

敏感信息是业务系统中对保密性要求较高的数据，通常包括系统敏感信息以及应用敏感信息系统敏感信息指的是业务系统本身的基础环境信息，例如系统信息、中间件版本、代码信息，这些数据的泄露可能为攻击者提供更多的攻击途径与方法应用敏感信息可被进一步划分为个人敏感信息和非个人敏感信息，个人敏感信息包括身份证、姓名、电话号码、邮箱等，非个人敏感信息则可能是企事业单位甚至国家层面的敏感信息。在实际场景中，经常发生因研发人员疏忽而导致的敏感信息泄露。

系统暴露系统内部信息，如网站绝对路径、网页源代码、SQL语句、中间件版本和程序异常等信息。数据库的敏感信息泄露（数据库表段等信息泄露），攻击者可能利用此缺陷对客户端或服务器发送特殊构造的数据，发出攻击，从而了解后台数据库表等信息，对系统安全构成威胁。通过系统暴露出的异常信息，便于入侵者了解系统框架及代码等，从而加大系统被侵入的风险解决方案： 1.对用户输入的异常字符做过滤，防止网站绝对路径、网页源代码和SQL语句等信息输出。 2.屏蔽应用程序报错回显，防止恶意用户获得服务器的敏感信息，或对出错信息进

雲畅的课程社区_NO_1

1

社区成员

80

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章