敏感信息泄露
0X00
本文简述几个不是很常见的敏感信息泄露的途径,敏感信息的泄露可以帮助攻击者为高级的攻击做准备,而防护办法只有一个:删,删,删。
0X01 配置文件披露
该文件包含 Web 应用程序部署的相关描述,通常存储在文件 /WEB-INF/web.xml 中。
0X02 CVS 网络库
CVS 仓库 Repository 存储了用于版本控制的所有文件和目录的副本,包含存储库的路径。
0X03 目录遍历
目录遍历允许攻击者访问受限制和执行命令外的 web 服务器的根目录。这主要来源于上面的配置文件泄露。
防护:过滤用户输入
0X04 IBM WebSphere应用程序源文件
WebSphere Application Server允许远程攻击者绕过安全限制,攻击者可以利用此漏洞来查看或者执行服务器上包含 war 的文件,打开特定的应用程序文件,这个漏洞也会影响 WebSphere 管理控制台的安全性。
0X05 Web .xml 配置文件披露
.xml 部署文件描述文件如何部署在一个应用程序中(如 Tomcat web 应用程序),通常情况下,该文件不可被访问。
0X06
好吧,我承认,后面三种漏洞都是源于配置文件的披露而产生的。。。
