信息泄露--注意点点

目录

明确目标:

信息泄露:

版本软件

敏感文件

配置错误

url基于文件:

url基于路由:

状态码:

http头信息泄露

报错信息泄露

页面信息泄露

robots.txt敏感信息泄露

.get文件泄露

--判断:

搜索引擎收录泄露

BP:

爆破:


明确目标:

失能

读取

写入

执行

信息泄露:

版本软件

.git svn hg bzr CVS

敏感文件

robots.txt www.zip 静态文件注释泄露

配置错误

DS_Store WEB-INF Apache/Nginx错误配置

......


url基于文件:

/admin/ 找目录,一般找默认的

/admin 找特定文件

url基于路由:

/user 访问的是user路由,不是文件,要根据server头判断.

状态码:

301 302 跳转

500 服务器内部错误

502 转发失败 error getaway


http头信息泄露

<www.baidu.com/index.php>

/index.jsp

--看数据包

报错信息泄露

清华

页面信息泄露

百度,京东--控制台

robots.txt敏感信息泄露

百度robots.txt


.get文件泄露

githack工具

--判断:

网址/.git/ -->403 (目录存在)

python py -u "git网址"

搜索引擎收录泄露

--百度

intitle:后台登录

--fofa

title="文件上传"


BP:

ctfshow抓包插件--代理

爆破:

多次.无限次

爆破单个参数 grep 过滤(停下来)

爆破账号密码 攻击类型选最后一个.

爆破http认证 (加前缀,加encode)


相关推荐
芯盾时代4 分钟前
低空经济网络安全的政策体系构建
安全·web安全·网络安全·低空经济
墨燃.29 分钟前
江西省第二届职业技能大赛网络安全赛题 应急响应
安全·web安全
汽车仪器仪表相关领域1 小时前
工业商业安全 “哨兵”:GT-NHVR-20-A1 点型可燃气体探测器实操解析与场景适配
大数据·人工智能·功能测试·安全·安全性测试
无聊的小坏坏1 小时前
详解 TCP 通信中的序列化与反序列化:从登录场景谈起
服务器·网络·tcp/ip
清山博客2 小时前
Springboot 局域网部署https解除安全警告
网络协议·安全·https
特种加菲猫2 小时前
自定义协议、序列化与守护进程:构建可靠后端服务
linux·网络·笔记
小楊不秃头2 小时前
网络原理:数据链路层、NAT与网页加载
网络·网络协议
王火火(DDoS CC防护)2 小时前
如何判断服务器是否遭受攻击?
服务器·web安全·网络安全·ddos攻击
上海云盾第一敬业销售3 小时前
游戏盾是如何保障游戏安全稳定的
tcp/ip·安全·游戏·ddos
The 旺3 小时前
【Rust实战】打造内存安全的网络代理:深入异步IO与并发编程
网络·安全·rust