|
% @" j$ y ]/ k: s4 L
注入报错 显示服务器信息php调试文件泄露 (用目录遍历工具去暴露目录 从而发现敏感目录)phpinfo.php文件PHP 的所有信息,包括了 PHP 的编译选项及扩充配置、PHP 版本、服务器信息及环境 $ O* c0 l1 P( N; X; M! g" l( r" @
变量、PHP 环境变量、操作系统版本信息、路径及环境变量配置、HTTP 标头、及版权宣告等信息显示隐藏目录的名称、结构和内容 robots.txt文件或目录列表 通过临时备份提供对源代码文件的访问 8 F) v8 U# \0 Z3 N! ?6 P7 Q2 ]5 e
在错误消息中明确提及数据库表或列名 不必要地暴露高度敏感的信息,例如信用卡详细信息 在源代码中硬编码 API 密钥、IP 地址、数据库凭证等 通过应用程序行为的细微差异来暗示资源、用户名等是否存在 2 Z) [- J; |# k3 x6 g% i" ^5 B( {
/robots.txt或者 /sitemap.xml手动查看是否有任何用处备份文件 /backup 进行目录扫描查找敏感目录trace 方式访问管理目录 回显服务器收到的请求 其中有本地IP,主要用于测试或诊断 " }+ q" K( a' I4 T* I
X-Custom-IP-Authorization:本地IP历史版本控制中信息泄露用wget 下载 git文件然后再去复原如何防止信息泄漏漏洞?确保参与开发应用程序的所有人员知道哪些是敏感信息,往往看似无害的信息也会成为攻击者利用的点
( `* d" \/ a- J$ t' |! d 完整审计代码以发现隐藏的信息泄漏风险尽量提供一般性的错误信息,即不要给出详细的报错信息,比如仅提示某些必须提供的信息有误之类的再三检查应用程序上线前已关闭所有调试模式及选项对第三方组件完全了解并禁用所有不相关的功能
9 g1 J6 E) }; F- h7 [8 Q% {2 A! t# S
" F+ X, k+ e9 `* F4 ^& G
/ y' @2 E9 p* o( @8 P7 o* |5 ~) M- }2 g' ]/ ~/ I3 {$ M
: I. T) a( i; K8 U7 k | 
