Web安全：敏感信息泄露

gclome

原文链接：Web安全：敏感信息泄露

敏感信息指由权威机构确定的必须受保护的信息，该信息的泄露、修改、破坏或者丢失会对人或事产生可预知的损害。敏感信息可以大致分为个人敏感信息与非个人敏感信息，非个人敏感信息一般指组织的敏感信息或者企业的敏感信息，甚至国家的敏感信息。


从渗透测试来讲，常见的敏感信息一般是服务器的敏感信息。渗透测试中的敏感信息一般包括数据库名称、版本号、网站物理地址、phpinfo信息、代码信息、账号密码信息及服务器端口或者banner信息等。例如在渗透测试的时候，我们经常会在URL后面加一个单引号，按回车键执行，网页就显示错误了。但是仔细一看就会发现，出错信息中有的包含了数据库的名称、版本号；有的包含了网站的物理地址；有的包含了本页代码；有的包含了数据库配置文件代码；有的只是本页代码数据类型转换的时候出现了错误……这么多的错误，某些错误信息对于我们来说是有用的，而另一些错误信息对于我们来说没什么太大的意义。

我们怎么才能区分出这些报错信息是有用信息还是无用信息呢？如果报错信息出现在SQL语句中，那么说明该页面存在SQL注入；如果报错信息出现在非SQL语句中（如数据类型转换出错），那么说明该页面可能不存在SQL注入。这是判断是否存在SQL注入的一个有效法则。例如数据库名称或者版本号已经出现在了报错信息中，那么可以肯定的是该页面存在SQL注入，这个可以慢慢体会。

既然该页面已经肯定有SQL注入，我们就可以深入分析了，通过Python编写一些POC来进一步验证这些SQL注入，也可以直接用Python编写一些exp来利用这些SQL注入。例如在渗透测试的时候，遇到一个phpMyAdmin数据库可视化管理后台，输入账号及密码root，结果不小心登录进去了。此时，我们或许可以在数据库中插入一句话木马，然后，将该一句话木马导出到网站物理地址或者其他路径下。

但是，此刻我们不知道该将一句话木马导出到哪个物理地址，因为我们并不知道网站的物理地址，从而无法实现一句话木马的导出。这个时候，我们就可以通过网站应用程序报错出来的敏感信息来获得这个网站的物理地址。当然，若能通过其他方法得到这个物理地址也是可以的。

例1：某站敏感信息泄露，phpinfo信息泄露。开启浏览器，输入某站主域名/test.php。我们可以看到这是phpinfo信息泄露，Web服务器返回图1所示的信息。
​
图1  Web服务器返回信息

例2：某站敏感信息泄露，网站物理地址泄露。开启浏览器，输入某站主域名/index.php?s=/etc/。我们可以看到这是ThinkPHP的物理地址泄露，Web服务器返回图2所示的信息。
​
图2  物理地址泄露

例3：某站敏感信息泄露，代码（备份的代码文件）信息泄露。开启浏览器，输入某站主域名/bak/bak.rar。Web服务器返回图3所示的信息。
​
图3  备份代码包下载

攻击者将该rar文件保存到本地，解压以后，看到里面是该站部分代码，如图4所示。
​
图4  备份代码文件泄露

其中的Default.aspx.cs文件代码如图5所示。
​
图5  备份代码信息泄露

例4：某站敏感信息泄露。开启浏览器，输入某站主域名/action_show.php。Web服务器返回信息如图6所示。
​
图6  代码敏感信息泄露

由图6可见，这是PHP的代码泄露（暴露了数据库连接信息，如今，此种类型的信息泄露一般已很少见）。

例5：某站敏感信息泄露。开启浏览器，输入某站主域名/api/ajax/explore/。Web服务器返回图7所示的信息。
​
图7  密码敏感信息泄露

可以看到，数据库中用户的账号、密码（MD5加密）信息泄露。其他比如SQL注入时报错、数据库信息泄露、目录浏览、目录穿越及任意文件下载等这些都属于信息泄露。信息安全或者网络安全，这些介绍的都是信息的安全与保护，信息泄露正是攻击者所希望看到的。

微信公众号：计算机与网络安全
ID：Computer-network