24.【轉載】挖洞技巧：信息泄露之總結

信息漏洞的危害涉及到企業和用戶，一直以來都是高風險的問題，本文章就兩個方向進行講述挖掘信息泄露的那些思路。

Web方面的信息泄露

0x01  用戶信息泄露

①：評論處

• 通常用戶評論處用戶的信息都是加密的，好比顯示的是用戶手機號或郵箱等，就會直接對中間的一段數字進行加密，可是有些可能就沒有加密，而是直接顯示出來，那麼這就形成了用戶信息泄露問題。

• 若是加密不當，直接遊覽用戶評論處時進行抓包，而後查看返回包就能夠直接看到明文，但有的時候會有2個參數，就好比name：1333******1這個值是加密的，但後面還會有一個testname這個參數就沒有進行加密，從而致使用戶信息泄露。

  這裏有一些小技巧，就好比一個買賣市場，他有用戶評論的地方，有一個秒殺搶購成功的展現用戶的地方，還有一個是用戶相互交流的地方，通常白帽子測試了第一個功能處發現不存在問題，而後就不繼續測試其它相同功能處了，這個疏忽就可能會致使錯過一個發現問題的機會，每一個功能處，加密機制有時候就會被漏掉，就好比用戶評論處用戶信息加了密，可是秒殺搶購成功的展現用戶的地方卻沒有加密，因此白帽子要更細心點。

• 通常評論處都會有一個追加評論功能和一個商家回覆功能，那麼此時若是對這個功能參數沒有加以加密，那麼經過抓包遊覽查看返回包就可看到追加評論的用戶信息和商家信息。

• 有些評論功能當中支持艾特(@)他人，那麼在這個評論當中你經過@他人，而後輸入信息點擊發送到評論處時，通關抓包就可看到剛剛@的那個用戶的明文信息。

• 當這個網站評論地方被搜索引擎爬蟲到了，那麼能夠嘗試利用搜索命令site:XXXX.com inurl:XX目錄在搜索引擎當中搜索，若是加密不徹底，那麼就能夠在搜索引擎當中看到明文信息。

  關於這類的信息泄露問題我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0104766.html

②：轉帳處

• 不少大型公司都有自家的金融平臺，而後在轉帳處，當你輸入對方的轉帳的帳戶，好比手機號或者郵箱，而後當你點擊其它地方，它會向服務器發送一條驗證信息，驗證輸入的此帳戶是否存在，若是存在，返回對應的手機號或者郵箱帳戶的用戶姓名，好比*王（1333333XXX）這樣的返回信息，那麼若是此時前端加密不當，能夠經過抓包攔截這條請求，查看返回信息，就可看到明文的姓名。

  關於這類問題，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0124969.html

• 通常在轉帳處輸入手機號或郵箱帳戶的旁邊，有一個歷史轉帳信息，一個迷你的小頁面，當你點擊後會看到以前轉帳成功的信息，可是，若是此頁面加密不全，那麼在點擊查看歷史轉帳信息時直接抓包查看返回內容就可看到明文的姓名。

③：搜索處

• 有些平臺內置了搜索功能，跟搜索引擎思路很像，一樣也是隨意搜索，若是此時搜索的結果包含用戶信息這塊，那麼就可能會致使用戶信息泄露問題。

  關於這類問題，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-069909.html
  

④：我的頁面處

• 在我的頁面當中，直接遊覽時直接抓包，查看返回包就可看到用戶信息是否未加密徹底。好比一些金融APP，若是加密不當，當點擊我的界面時經過抓包查看返回包就可看到明文的身份證信息和用戶名以及手機號。

  固然這裏不是隻有涉及金融APP方面的纔會有這個問題，只要是能夠查看我的頁面處均可能存在。

• 在查看銀行卡信息那裏，通常都是加了密的，但查看銀行卡信息處時進行抓包查看返回包的時候就可看到明文的銀行卡卡號信息和姓名信息。
  

⑤：客服處

• 這個問題屬於客服安全方面意思不足，大一點的來看就是公司沒有對客服進行安全培訓等，當你詢問客服某手機號對應的姓名時，客服就會直接把姓名發你，固然這要考驗你是怎麼問的了，還有若是失敗了不要放棄，換一個客服繼續測試。

‘

越權方面的用戶信息泄露：

①：任意查看

• 不少平臺須要進行實名制認證，在上傳實名制所須要的身份證照片等信息圖片時，若是沒有對所產生的文件名格式進行復雜化的話，那麼極有可能會存在任意查看，經過批量的方式就能夠進行這些步驟，好比你上傳了圖片，服務器生成的圖片地址是XXX.com/xxx/xx/012313.jpg這樣短的數字格式文件名的話，就會存在該問題。

• 購物平臺當中，在添加地址或修改地址的地方，若是權限沒過濾好，就能夠越權進行查看任意用戶的地址信息。

• 在某些平臺當中，支持添加子帳戶，而後隨便添加一個子帳戶，而後在查看該子帳戶的時候進行抓包，修改其ID值，就能夠查看任意帳戶信息

• 有些平臺有操做日誌或其它日誌功能，那麼若是此時對當前用戶的權限過濾不當，那麼就能夠查看所有用戶操做時產生的日誌，從而致使信息泄露。

• 在不少金融平臺當中，在修改暱稱那裏或者查看我的信息那裏，提交時抓包，修改其用戶值爲存在用戶的任意值，那麼就可能形成查看任意用戶信息的問題。

• 若是你進入了一些內部員工平臺，那麼若是具備搜索功能，就好比你輸入了員工工號而後它會返回這個員工的全部在職信息，那麼此時你能夠經過抓包批量進行提交員工工號，就可形成大範圍的信息泄露。

• 隨便買一個東西生成訂單，若是此時權限控制不當，就能夠越權查看到任意用戶的訂單，那麼信息也自認而然的泄露出來了。

  關於這方面，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2014-083157.html
  

②：任意重置

• 若是權限控制不當，可致使任意用戶密碼修改的話，那麼登陸後就可查看該用戶的任意信息，這也就致使了用戶信息泄露。

③：任意修改

• 在下單的時候修改其用戶ID爲任意存在用戶的ID，而後下單，而後查看剛剛下單的信息，就可看到該用戶的收貨地址信息，只要對方設置了收貨地址。

接口方面的用戶信息泄露：

• 不少業務網站在上線的時候都忘記把測試時的接口進行關閉，從而致使這個接口能夠查詢大量用戶信息。那麼此類接口怎麼找呢？

  其中之一的方法經過Github.com網站進行搜索相關域名進行查找。

  關於這類問題，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0116563.html
  

注入方面的用戶信息泄露：

• 注入能夠說是很是很是的嚴重，由於注入每每都能獲得不少信息，若是沒作好相關過濾以及防禦，就可致使注入，從而數據庫內的各類數據面對裸露的危險。

 

0x02  服務器路徑信息泄露

①：上傳圖片處

• 在上傳圖片處，這裏我說下最可能存在問題的點，就是關於上傳相關證實，進行實名制上傳信息等功能頁面，在上傳圖片時進行抓包，而後查看返回包，那麼就可看到當前服務器的絕對路徑信息。

②：XML處

• 一些XML限制或刪除不徹底，可致使服務器等信息泄露。

  詳細例子 : http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0123762.html
  

③：第三方的服務當中

• 不少，如：Apache Tomcat、Struts二、CMS、zabbix、Nginx等等，例如Nginx的某版本解析漏洞，就可形成路徑信息泄露。

  關於這方面我找到了相關例子:

  http://wooyun.jozxing.cc/static/bugs/wooyun-2013-019253.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2012-04655.html
  

④：利用報錯問題

• 在處理報錯信息的問題上若是處理不當，就可致使路徑信息泄露，好比訪問一些不存在的文件等思路。

          這裏我找到了相關例子：

          http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02219.html

          http://wooyun.jozxing.cc/static/bugs/wooyun-2012-09901.html

 

 0x03  員工信息泄露

①：各第三方平臺當中

• Github，很不錯的開源社區平臺。一些員工喜歡將本身的信息上傳到這平臺上，可是每每忽視了安全，有時這上傳的代碼當中就可能包含不少內部測試員工的帳戶以及密碼信息等。

  關於這方面我找到了相關例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0177720.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0164337.html

• 在搜索QQ羣那裏，經過搜索企業暱稱，每每均可以搜索出來關於企業員工或企業方面的信息，通常都會貼在公告當中，好比某某測試帳戶等。

  固然，你也能夠申請加入羣進行查看羣文件，看是否有敏感的信息。

  這裏我找到了相關例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0128511.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2015-093927.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0208105.html

• 百度貼吧當中，通常都有公司員工建立的貼吧，若是安全意思不足，那麼就會泄露相關員工工號，可用做暴力破解的字典。

②：弱密碼問題

• 在一些涉及內部員工方面的系統，若是員工密碼爲弱密碼，那麼就可經過暴力破解方式進行嘗試登陸，若是成功爆破到了員工帳戶，那麼通常只要是內部員工系統該帳戶均可以登陸，那麼所形成的影響也是很大的。

 

0x04  數據庫信息以及服務器信息泄露

①：各第三方平臺當中

• Github，一些員工若是安全意識不足，一樣上傳的代碼當中就包含了數據庫鏈接信息以及服務器信息。
  

  關於這類問題，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0180848.html

• 利用搜索QQ羣的思路，若是員工的安全意識不足，那麼數據庫鏈接信息以及服務器信息就會在公告或羣文件當中

②：XML處

• 一樣在XML文件當中，也可能會發現數據庫鏈接信息以及服務器信息。

③：svn處

• svn是一個開放源代碼的版本控制系統，若是沒有加以限制或者刪除，那麼就能夠遊覽相關的比較隱蔽性的源碼。

  關於這類的問題，我找到了相關例子：

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0199607.html

  http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191202.html
  

④：數據庫文件

• 一些數據庫相關文件若是刪除不當或者擺放位置不當，那麼極有可能被下載下來，形成危害。

  關於這方面，我找到了相關例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0158556.html
  

⑤：其它文件

• 好比其它類型的文件，如Txt、Doc、Excel等文件，若是包含銘感信息，那麼危害也是顯而易見的。

 

APP方面的信息泄露

0x01 敏感域名泄露

①：本地文件當中

第一點：

一些比較隱私性的域名可能會包含在APP本地文件當中，好比某內部員工登陸系統的APP，可是因爲有證書校驗，你也抓不到數據包，此時你能夠查看該APP的本地文件，而後就可看到本APP內調用的是哪些域名，而後還有相關的域名。

從APP內提取域名的相關程序不少，Github不少，這裏我提供一個某做者寫的Windows下的工具吧，須要Net環境哦，下載地址：

https://pan.baidu.com/s/1slJaYnF

第二點：

你們可能喜歡用Burpsuite進行抓包，但配置相關證書的過程中會很不順利，或者有時抓不到相關信息

那麼我推薦一款工具，免Root抓包工具，能夠抓Https的數據包

下載地址：https://pan.baidu.com/s/1jKou83W        密碼:rh5i

以上就是關於App方面的信息收集

 

0x02 密碼泄露

• 手勢密碼也存在在本地文件當中，若是沒最好相關校驗或加密，那麼手勢密碼就可能會泄露而且被利用。

• 一些APP問題就是把用戶登陸的信息保存在本地，並且帳戶密碼都是以明文保存在本地文件或本地Sqlite數據庫當中，很容易被利用。

  這裏我找到了相似的例子：http://wooyun.jozxing.cc/static/bugs/wooyun-2011-02915.html

• 一樣，一些APP也會把登陸成功的Cookie保存在本地，那麼只要找到相關文件複製下來這個Cookie，就能夠任意登陸了。

固然，訪問這些文件是須要ROOT權限的，以上就是APP方面的信息泄露問題了！

 

 
 

強力鏈接：https://www.secpulse.com/archives/67123.html