概述
由於後臺人員的疏忽或者不當的設計,導致不應該被前端用戶看到的數據被輕易的訪問到。 比如:
- 通過訪問url下的目錄,可以直接列出目錄下的文件列表;
- 輸入錯誤的url參數後報錯信息裏面包含操作系統、中間件、開發語言的版本或其他信息;
- 前端的源碼(html,css,js)裏面包含了敏感信息,比如後臺登錄地址、內網接口信息、甚至賬號密碼等;
類似以上這些情況,我們成爲敏感信息泄露。
敏感信息泄露雖然一直被評爲危害比較低的漏洞,但這些敏感信息往往給攻擊着實施進一步的攻擊提供很大的幫助,甚至“離譜”的敏感信息泄露也會直接造成嚴重的損失。
因此,在web應用的開發上,除了要進行安全的代碼編寫,也需要注意對敏感信息的合理處理。
漏洞利用
不太懂有什麼用,直接遍歷就找到abc.php文件了。
