信息泄露--注意点点

目录

明确目标:

信息泄露:

版本软件

敏感文件

配置错误

url基于文件:

url基于路由:

状态码:

http头信息泄露

报错信息泄露

页面信息泄露

robots.txt敏感信息泄露

.get文件泄露

--判断:

搜索引擎收录泄露

BP:

爆破:


明确目标:

失能

读取

写入

执行

信息泄露:

版本软件

.git svn hg bzr CVS

敏感文件

robots.txt www.zip 静态文件注释泄露

配置错误

DS_Store WEB-INF Apache/Nginx错误配置

......


url基于文件:

/admin/ 找目录,一般找默认的

/admin 找特定文件

url基于路由:

/user 访问的是user路由,不是文件,要根据server头判断.

状态码:

301 302 跳转

500 服务器内部错误

502 转发失败 error getaway


http头信息泄露

<www.baidu.com/index.php>

/index.jsp

--看数据包

报错信息泄露

清华

页面信息泄露

百度,京东--控制台

robots.txt敏感信息泄露

百度robots.txt


.get文件泄露

githack工具

--判断:

网址/.git/ -->403 (目录存在)

python py -u "git网址"

搜索引擎收录泄露

--百度

intitle:后台登录

--fofa

title="文件上传"


BP:

ctfshow抓包插件--代理

爆破:

多次.无限次

爆破单个参数 grep 过滤(停下来)

爆破账号密码 攻击类型选最后一个.

爆破http认证 (加前缀,加encode)


相关推荐
A5rZ15 分钟前
Puppeteer 相关漏洞-- Google 2025 Sourceless
网络安全
小能喵1 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
Bruce_Liuxiaowei3 小时前
常见高危端口风险分析与防护指南
网络·网络安全·端口·信息搜集
tmacfrank3 小时前
Android 网络全栈攻略(四)—— TCPIP 协议族与 HTTPS 协议
android·网络·https
liulilittle3 小时前
深度剖析:OPENPPP2 libtcpip 实现原理与架构设计
开发语言·网络·c++·tcp/ip·智能路由器·tcp·通信
cui_win3 小时前
【内存】Linux 内核优化实战 - net.ipv4.tcp_tw_reuse
linux·网络·tcp/ip
2501_916013744 小时前
iOS 多线程导致接口乱序?抓包还原 + 请求调度优化实战
websocket·网络协议·tcp/ip·http·网络安全·https·udp
夏天想4 小时前
优化 WebSocket 实现单例连接用于打印【待测试 】
网络·websocket·网络协议
头发那是一根不剩了5 小时前
双因子认证(2FA)是什么?从零设计一个安全的双因子登录接口
网络安全·系统设计·身份认证
我是小bā吖5 小时前
阿里云服务网格ASM实践
网络·阿里云·云计算·服务发现