信息漏洞的危害涉及到企業(yè)和用戶，一直以來(lái)都是高風(fēng)險(xiǎn)的問(wèn)題航夺，本文章就兩個(gè)方向進(jìn)行講述挖掘信息泄露的那些思路。

Web方面的信息泄露

0x01 用戶信息泄露

①：評(píng)論處

第一點(diǎn)：

一般用戶評(píng)論處用戶的信息都是加密的，比如顯示的是用戶手機(jī)號(hào)或郵箱等蛛碌，就會(huì)直接對(duì)中間的一段數(shù)字進(jìn)行加密究反，但是有些可能就沒(méi)有加密寻定，而是直接顯示出來(lái)，那么這就造成了用戶信息泄露問(wèn)題奴紧。

第二點(diǎn)：

如果加密不當(dāng)特姐，直接游覽用戶評(píng)論處時(shí)進(jìn)行抓包，然后查看返回包就可以直接看到明文黍氮，但有的時(shí)候會(huì)有2個(gè)參數(shù)唐含，就比如name：1333******1這個(gè)值是加密的，但后面還會(huì)有一個(gè)testname這個(gè)參數(shù)就沒(méi)有進(jìn)行加密沫浆，從而導(dǎo)致用戶信息泄露捷枯。這里有一些小技巧，就比如一個(gè)買賣市場(chǎng)专执，他有用戶評(píng)論的地方淮捆，有一個(gè)秒殺搶購(gòu)成功的展示用戶的地方，還有一個(gè)是用戶相互交流的地方，一般白帽子測(cè)試了第一個(gè)功能處發(fā)現(xiàn)不存在問(wèn)題攀痊，然后就不繼續(xù)測(cè)試其它相同功能處了桐腌，這個(gè)疏忽就可能會(huì)導(dǎo)致錯(cuò)過(guò)一個(gè)發(fā)現(xiàn)問(wèn)題的機(jī)會(huì)，每個(gè)功能處苟径，加密機(jī)制有時(shí)候就會(huì)被漏掉案站，就比如用戶評(píng)論處用戶信息加了密，但是秒殺搶購(gòu)成功的展示用戶的地方卻沒(méi)有加密棘街，所以白帽子要更細(xì)心點(diǎn)蟆盐。

第三點(diǎn)：

一般評(píng)論處都會(huì)有一個(gè)追加評(píng)論功能和一個(gè)商家回復(fù)功能，那么此時(shí)如果對(duì)這個(gè)功能參數(shù)沒(méi)有加以加密遭殉，那么通過(guò)抓包游覽查看返回包就可看到追加評(píng)論的用戶信息和商家信息石挂。

第四點(diǎn)：

有些評(píng)論功能當(dāng)中支持艾特(@)他人，那么在這個(gè)評(píng)論當(dāng)中你通過(guò)@他人险污，然后輸入信息點(diǎn)擊發(fā)送到評(píng)論處時(shí)痹愚，通關(guān)抓包就可看到剛剛@的那個(gè)用戶的明文信息。

第五點(diǎn)：

當(dāng)這個(gè)網(wǎng)站評(píng)論地方被搜索引擎爬蟲(chóng)到了罗心，那么可以嘗試?yán)盟阉髅顂ite:XXXX.com inurl:XX目錄在搜索引擎當(dāng)中搜索里伯，如果加密不完全，那么就可以在搜索引擎當(dāng)中看到明文信息渤闷。關(guān)于這類的信息泄露問(wèn)題我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html

②：轉(zhuǎn)賬處

第一點(diǎn)：

很多大型公司都有自家的金融平臺(tái)疾瓮，然后在轉(zhuǎn)賬處，當(dāng)你輸入對(duì)方的轉(zhuǎn)賬的賬戶飒箭，比如手機(jī)號(hào)或者郵箱狼电，然后當(dāng)你點(diǎn)擊其它地方，它會(huì)向服務(wù)器發(fā)送一條驗(yàn)證信息弦蹂，驗(yàn)證輸入的此賬戶是否存在肩碟，如果存在，返回對(duì)應(yīng)的手機(jī)號(hào)或者郵箱賬戶的用戶姓名凸椿，比如*王（1333333XXX）這樣的返回信息削祈，那么如果此時(shí)前端加密不當(dāng)，可以通過(guò)抓包攔截這條請(qǐng)求脑漫，查看返回信息髓抑，就可看到明文的姓名。關(guān)于這類問(wèn)題优幸，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

第二點(diǎn)：

一般在轉(zhuǎn)賬處輸入手機(jī)號(hào)或郵箱賬戶的旁邊吨拍，有一個(gè)歷史轉(zhuǎn)賬信息，一個(gè)迷你的小頁(yè)面网杆，當(dāng)你點(diǎn)擊后會(huì)看到之前轉(zhuǎn)賬成功的信息羹饰，但是伊滋，如果此頁(yè)面加密不全，那么在點(diǎn)擊查看歷史轉(zhuǎn)賬信息時(shí)直接抓包查看返回內(nèi)容就可看到明文的姓名队秩。

③：搜索處

第一點(diǎn)：

有些平臺(tái)內(nèi)置了搜索功能笑旺，跟搜索引擎思路很像，同樣也是隨意搜索刹碾，如果此時(shí)搜索的結(jié)果包含用戶信息這塊燥撞，那么就可能會(huì)導(dǎo)致用戶信息泄露問(wèn)題。關(guān)于這類問(wèn)題迷帜，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html

④：個(gè)人頁(yè)面處

第一點(diǎn)：

在個(gè)人頁(yè)面當(dāng)中，直接游覽時(shí)直接抓包色洞，查看返回包就可看到用戶信息是否未加密完全戏锹。比如一些金融APP，如果加密不當(dāng)火诸，當(dāng)點(diǎn)擊個(gè)人界面時(shí)通過(guò)抓包查看返回包就可看到明文的身份證信息和用戶名以及手機(jī)號(hào)锦针。當(dāng)然這里不是只有涉及金融APP方面的才會(huì)有這個(gè)問(wèn)題，只要是可以查看個(gè)人頁(yè)面處都可能存在置蜀。

第二點(diǎn)：

在查看銀行卡信息那里奈搜，一般都是加了密的，但查看銀行卡信息處時(shí)進(jìn)行抓包查看返回包的時(shí)候就可看到明文的銀行卡卡號(hào)信息和姓名信息盯荤。

⑤：客服處

第一點(diǎn)：

這個(gè)問(wèn)題屬于客服安全方面意思不足馋吗，大一點(diǎn)的來(lái)看就是公司沒(méi)有對(duì)客服進(jìn)行安全培訓(xùn)等，當(dāng)你詢問(wèn)客服某手機(jī)號(hào)對(duì)應(yīng)的姓名時(shí)秋秤，客服就會(huì)直接把姓名發(fā)你宏粤，當(dāng)然這要考驗(yàn)?zāi)闶窃趺磫?wèn)的了，還有如果失敗了不要放棄灼卢，換一個(gè)客服繼續(xù)測(cè)試绍哎。

越權(quán)方面的用戶信息泄露

①：任意查看

第一點(diǎn)：

很多平臺(tái)需要進(jìn)行實(shí)名制認(rèn)證，在上傳實(shí)名制所需要的身份證照片等信息圖片時(shí)鞋真，如果沒(méi)有對(duì)所產(chǎn)生的文件名格式進(jìn)行復(fù)雜化的話崇堰，那么極有可能會(huì)存在任意查看，通過(guò)批量的方式就可以進(jìn)行這些步驟涩咖，比如你上傳了圖片海诲，服務(wù)器生成的圖片地址是XXX.com/xxx/xx/012313.jpg這樣短的數(shù)字格式文件名的話，就會(huì)存在該問(wèn)題抠藕。

第二點(diǎn)：

購(gòu)物平臺(tái)當(dāng)中饿肺，在添加地址或修改地址的地方，如果權(quán)限沒(méi)過(guò)濾好盾似，就可以越權(quán)進(jìn)行查看任意用戶的地址信息敬辣。

第三點(diǎn)：

在某些平臺(tái)當(dāng)中雪标，支持添加子賬戶，然后隨便添加一個(gè)子賬戶溉跃，然后在查看該子賬戶的時(shí)候進(jìn)行抓包村刨，修改其ID值，就可以查看任意賬戶信息

第四點(diǎn)：

有些平臺(tái)有操作日志或其它日志功能撰茎，那么如果此時(shí)對(duì)當(dāng)前用戶的權(quán)限過(guò)濾不當(dāng)嵌牺，那么就可以查看全部用戶操作時(shí)產(chǎn)生的日志，從而導(dǎo)致信息泄露龄糊。

第五點(diǎn)：

在很多金融平臺(tái)當(dāng)中逆粹，在修改昵稱那里或者查看個(gè)人信息那里，提交時(shí)抓包炫惩，修改其用戶值為存在用戶的任意值僻弹，那么就可能造成查看任意用戶信息的問(wèn)題。

第六點(diǎn)：

如果你進(jìn)入了一些內(nèi)部員工平臺(tái)他嚷，那么如果具有搜索功能蹋绽，就比如你輸入了員工工號(hào)然后它會(huì)返回這個(gè)員工的所有在職信息，那么此時(shí)你可以通過(guò)抓包批量進(jìn)行提交員工工號(hào)筋蓖，就可造成大范圍的信息泄露卸耘。

第七點(diǎn)：

隨便買一個(gè)東西生成訂單，如果此時(shí)權(quán)限控制不當(dāng)粘咖，就可以越權(quán)查看到任意用戶的訂單蚣抗，那么信息也自認(rèn)而然的泄露出來(lái)了。關(guān)于這方面涂炎，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html

②：任意重置

第一點(diǎn)：

如果權(quán)限控制不當(dāng)忠聚，可導(dǎo)致任意用戶密碼修改的話，那么登錄后就可查看該用戶的任意信息唱捣，這也就導(dǎo)致了用戶信息泄露两蟀。

③：任意修改

第一點(diǎn)：

在下單的時(shí)候修改其用戶ID為任意存在用戶的ID，然后下單震缭，然后查看剛剛下單的信息赂毯，就可看到該用戶的收貨地址信息，只要對(duì)方設(shè)置了收貨地址拣宰。接口方面的用戶信息泄露

第一點(diǎn)：

很多業(yè)務(wù)網(wǎng)站在上線的時(shí)候都忘記把測(cè)試時(shí)的接口進(jìn)行關(guān)閉党涕，從而導(dǎo)致這個(gè)接口可以查詢大量用戶信息。那么此類接口怎么找呢巡社？其中之一的方法通過(guò)Github.com網(wǎng)站進(jìn)行搜索相關(guān)域名進(jìn)行查找膛堤。關(guān)于這類問(wèn)題，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html注入方面的用戶信息泄露

第一點(diǎn)：

注入可以說(shuō)是非常非常的嚴(yán)重晌该，因?yàn)樽⑷胪寄艿玫胶芏嘈畔⒎世螅绻麤](méi)做好相關(guān)過(guò)濾以及防護(hù)绿渣，就可導(dǎo)致注入，從而數(shù)據(jù)庫(kù)內(nèi)的各種數(shù)據(jù)面對(duì)裸露的危險(xiǎn)燕耿。

以上就是關(guān)于挖掘用戶信息泄露方向的思路了中符，我試著努力回想，但目前只能總結(jié)到這幾個(gè)點(diǎn)誉帅，如果還有更多思路淀散，歡迎在評(píng)論處留言！

** 0x02 服務(wù)器路徑信息泄露**

①：上傳圖片處

第一點(diǎn)：

在上傳圖片處蚜锨，這里我說(shuō)下最可能存在問(wèn)題的點(diǎn)档插，就是關(guān)于上傳相關(guān)證明，進(jìn)行實(shí)名制上傳信息等功能頁(yè)面踏志，在上傳圖片時(shí)進(jìn)行抓包阀捅，然后查看返回包，那么就可看到當(dāng)前服務(wù)器的絕對(duì)路徑信息针余。

②：XML處

第一點(diǎn)：

一些XML限制或刪除不完全，可導(dǎo)致服務(wù)器等信息泄露凄诞。詳細(xì)例子:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0123762.html

③：第三方的服務(wù)當(dāng)中

第一點(diǎn)：

很多圆雁，如：Apache Tomcat、Struts2帆谍、CMS伪朽、zabix、Nginx等等汛蝙，例如Nginx的某版本解析漏洞烈涮，就可造成路徑信息泄露。關(guān)于這方面我找到了相關(guān)例子:http://wooyun.jozxing.cc/static/bugs/wooyun-2013-019253.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2012-04655.html

④：利用報(bào)錯(cuò)問(wèn)題

第一點(diǎn)：

在處理報(bào)錯(cuò)信息的問(wèn)題上如果處理不當(dāng)窖剑，就可導(dǎo)致路徑信息泄露坚洽，比如訪問(wèn)一些不存在的文件等思路。這里我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2012-010115.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

以上就是關(guān)于服務(wù)器路徑信息泄露問(wèn)題西土！

** 0x03 員工信息泄露**

①：各第三方平臺(tái)當(dāng)中

第一點(diǎn)：

Github讶舰，很不錯(cuò)的開(kāi)源社區(qū)平臺(tái)。一些員工喜歡將自己的信息上傳到這平臺(tái)上需了，但是往往忽視了安全跳昼，有時(shí)這上傳的代碼當(dāng)中就可能包含很多內(nèi)部測(cè)試員工的賬戶以及密碼信息等。關(guān)于這方面我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0177720.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164337.html

第二點(diǎn)：

在搜索QQ群那里肋乍，通過(guò)搜索企業(yè)昵稱鹅颊，往往都可以搜索出來(lái)關(guān)于企業(yè)員工或企業(yè)方面的信息，一般都會(huì)貼在公告當(dāng)中墓造，比如某某測(cè)試賬戶等堪伍。當(dāng)然锚烦，你也可以申請(qǐng)加入群進(jìn)行查看群文件，看是否有銘感的信息杠娱。這里我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0128511.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2015-093927.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2016-0208105.html

第三點(diǎn)：

百度貼吧當(dāng)中挽牢，一般都有公司員工創(chuàng)建的貼吧，如果安全意思不足摊求，那么就會(huì)泄露相關(guān)員工工號(hào)运怖，可用作暴力破解的字典。

②：弱密碼問(wèn)題

第一點(diǎn)：

在一些涉及內(nèi)部員工方面的系統(tǒng)粘优，如果員工密碼為弱密碼卵佛，那么就可通過(guò)暴力破解方式進(jìn)行嘗試登錄，如果成功爆破到了員工賬戶茧痕，那么一般只要是內(nèi)部員工系統(tǒng)該賬戶都可以登錄野来，那么所造成的影響也是很大的。

以上就是關(guān)于員工信息泄露的問(wèn)題踪旷！

0x04 數(shù)據(jù)庫(kù)信息以及服務(wù)器信息泄露

①：各第三方平臺(tái)當(dāng)中

第一點(diǎn)：

Github曼氛，一些員工如果安全意識(shí)不足，同樣上傳的代碼當(dāng)中就包含了數(shù)據(jù)庫(kù)連接信息以及服務(wù)器信息令野。關(guān)于這類問(wèn)題舀患，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html

第二點(diǎn)：

利用搜索QQ群的思路，如果員工的安全意識(shí)不足气破，那么數(shù)據(jù)庫(kù)連接信息以及服務(wù)器信息就會(huì)在公告或群文件當(dāng)中

②：XML處

第一點(diǎn)：

同樣在XML文件當(dāng)中聊浅，也可能會(huì)發(fā)現(xiàn)數(shù)據(jù)庫(kù)連接信息以及服務(wù)器信息。

③：svn處

第一點(diǎn)：

svn是一個(gè)開(kāi)放源代碼的版本控制系統(tǒng)现使，如果沒(méi)有加以限制或者刪除低匙，那么就可以游覽相關(guān)的比較隱蔽性的源碼。關(guān)于這類的問(wèn)題碳锈，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0199607.htmlhttp://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191202.html

③：數(shù)據(jù)庫(kù)文件

第一點(diǎn)：

一些數(shù)據(jù)庫(kù)相關(guān)文件如果刪除不當(dāng)或者擺放位置不當(dāng)顽冶，那么極有可能被下載下來(lái)，造成危害殴胧。關(guān)于這方面渗稍，我找到了相關(guān)例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0158556.html

④：其它文件

第一點(diǎn)：

比如其它類型的文件，如Txt团滥、Doc竿屹、Excel等文件，如果包含銘感信息灸姊，那么危害也是顯而易見(jiàn)的拱燃。以上就是關(guān)于數(shù)據(jù)庫(kù)信息以及服務(wù)器信息泄露的問(wèn)題！

APP方面的信息泄露

0x01 敏感域名泄露

①：本地文件當(dāng)中

第一點(diǎn)：

一些比較隱私性的域名可能會(huì)包含在APP本地文件當(dāng)中力惯，比如某內(nèi)部員工登錄系統(tǒng)的APP碗誉，但是由于有證書(shū)校驗(yàn)召嘶，你也抓不到數(shù)據(jù)包，此時(shí)你可以查看該APP的本地文件哮缺，然后就可看到本APP內(nèi)調(diào)用的是哪些域名弄跌，然后還有相關(guān)的域名。從APP內(nèi)提取域名的相關(guān)程序很多尝苇，Github很多铛只，這里我提供一個(gè)某作者寫(xiě)的Windows下的工具吧，需要Net環(huán)境哦糠溜，下載地址：https://pan.baidu.com/s/1slJaYnF

** 0x02 密碼泄露**

第一點(diǎn)：

手勢(shì)密碼也存在在本地文件當(dāng)中淳玩，如果沒(méi)最好相關(guān)校驗(yàn)或加密，那么手勢(shì)密碼就可能會(huì)泄露并且被利用非竿。

第二點(diǎn)：

一些APP問(wèn)題就是把用戶登錄的信息保存在本地蜕着，而且賬戶密碼都是以明文保存在本地文件或本地Sqlite數(shù)據(jù)庫(kù)當(dāng)中，很容易被利用红柱。這里我找到了類似的例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02915.html

第三點(diǎn)：

同樣承匣，一些APP也會(huì)把登錄成功的Cookie保存在本地，那么只要找到相關(guān)文件復(fù)制下來(lái)這個(gè)Cookie锤悄，就可以任意登錄了悄雅。

當(dāng)然，訪問(wèn)這些文件是需要ROOT權(quán)限的铁蹈，以上就是APP方面的信息泄露問(wèn)題了！

總結(jié)：

信息泄露不管是泄露哪方面的众眨，都需要重視握牧，信息一直伴隨著每個(gè)人到終身，如何才能保證在這個(gè)過(guò)程當(dāng)中不被泄露和利用娩梨，那么就需要各位白帽子來(lái)維護(hù)以及廠商來(lái)重視沿腰，讓信息化的今天，更安全狈定。感謝那些支持我的朋友們颂龙，你們的一點(diǎn)點(diǎn)支持對(duì)我來(lái)說(shuō)都有著莫大的鼓勵(lì)。最后纽什，發(fā)現(xiàn)問(wèn)題措嵌，解決問(wèn)題，讓世界更美芦缰，下次文章見(jiàn)~

本文轉(zhuǎn)載自：07v8 如若轉(zhuǎn)載企巢，請(qǐng)注明出處：http://mp.weixin.qq.com/s/jM8XZ_gI3RC3w5_r9Z3tfQ