敏感信息泄漏

由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。

可带来如下危害:

  1. 攻击者可直接下载用户的相关信息,包括网站的绝对路径、用户的登录名、密码、真实姓名、身份证号、电话号码、邮箱、QQ号等;
  2. 攻击者通过构造特殊URL地址,触发系统web应用程序报错,在回显内容中,获取网站敏感信息;
  3. 攻击者利用泄漏的敏感信息,获取网站服务器web路径,为进一步攻击提供帮助。

修复建议:

  1. 对网站错误信息进行统一返回,模糊化处理;
  2. 对存放敏感信息的文件进行加密并妥善储存,避免泄漏敏感信息。

results matching ""

    No results matching ""