【漏洞笔记】敏感目录


0x00 概述

漏洞名称:敏感目录

风险等级:低

问题类型:信息泄露

0x01 漏洞描述

目标服务器上存在敏感名称的目录。如/admin、/conf、/backup、/db等这些目录中有可能包含了大量的敏感文件和脚本,如服务器的配置信息或管理脚本等。

Web应用程序显露了某些目录名称,此信息可以帮助攻击者对站点进一步的攻击。

0x02 漏洞危害

如果这些名称敏感的目录中包含了危险的功能或信息,恶意攻击者有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。

知道目录之后,攻击者便可能获得目录下边的文件名,也许还能猜出其它的文件名或目录名,并尝试访问它们。这些可能包含敏感信息。攻击者通过搜集信息,以便进一步攻击目标站点。

0x03 修复建议

如果这些目录中包含了敏感内容,可以使用非常规的目录名称,如果能删除也可以删除或者正确设置权限,禁止用户访问。

更多信息欢迎关注我的个人微信公众号:TeamsSix

参考文章:https://www.izhangheng.com/china-top10-web-site-vulnerability-ranking-and-solutions


文章作者: TeamsSix
版权声明: 本博客所有文章除特別声明外,均采用 CC BY-NC 4.0 许可协议。转载请注明来源 TeamsSix !
评论
 上一篇
【漏洞笔记】敏感文件 【漏洞笔记】敏感文件
0x00 概述漏洞名称:敏感文件 风险等级:低 问题类型:信息泄露 0x01 漏洞描述由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。 Web应用程序显露了某些文件名称,此信息可以帮助攻击者对站点进一步的攻
2019-11-23
下一篇 
【漏洞笔记】基于HTTP连接的登录请求 【漏洞笔记】基于HTTP连接的登录请求
0x00 概述漏洞名称:基于HTTP连接的登录请求 风险等级:低 问题类型:信息泄露 0x01 漏洞描述应用程序使用HTTP连接接受客户端的登录请求,如果登录请求数据没有加密处理,有可能被攻击者嗅探到客户提交的请求数据,请求数据中一般包含用
2019-11-21
  目录