0x00 概述

漏洞名称：敏感文件

风险等级：低

问题类型：信息泄露

0x01 漏洞描述

由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。

Web应用程序显露了某些文件名称，此信息可以帮助攻击者对站点进一步的攻击。例如，知道文件名称之后，攻击者便可能获得它的内容，也许还能猜出其它的文件名或目录名，并尝试访问它们。

攻击者可直接下载用户的相关信息，包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等。

攻击者通过构造特殊URL地址，触发系统web应用程序报错，在回显内容中，获取网站敏感信息。

攻击者利用泄漏的敏感信息，获取网站服务器web路径，为进一步攻击提供帮助。

攻击者可能通过文件名，也许还能猜出其它的文件名或目录名，并尝试访问它们。这些可能包含敏感信息。攻击者通过搜集信息，以便进一步攻击目标站点。

对网站错误信息进行统一返回，模糊化处理；对存放敏感信息的文件进行加密并妥善储存，避免泄漏敏感信息。

修改复杂的文件名称；从站点中除去不需要的文件。

更多信息欢迎关注我的个人微信公众号：TeamsSix

参考文章：https://ninjia.gitbook.io/secskill/web/info

TeamsSix

https://www.teamssix.com/191123-174558.html

本博客所有文章除特別声明外，均采用 CC BY-NC 4.0 许可协议。转载请注明来源 TeamsSix !

0x00 概述漏洞名称：测试文件风险等级：低问题类型：信息泄露 0x01 漏洞描述Web应用程序在开发过程中，程序员为了测试代码功能，在Web目录下新建测试目录，存放测试代码，可能包含敏感信息。

2019-11-25 漏洞笔记

0x00 概述漏洞名称：敏感目录风险等级：低问题类型：信息泄露 0x01 漏洞描述目标服务器上存在敏感名称的目录。如/admin、/conf、/backup、/db等这些目录中有可能包含了大量的敏感文件和脚本，如服务器的配置信息或管理脚

2019-11-23 漏洞笔记