隔壁大娘收到了一條匿名短信,里面記錄了大娘跟隔壁老王的開房記錄,并勒索二百五十塊巨款,大娘略加思索后,便提著刀沖到狗剩家門口,一刀砍在門口的卷簾門上
隔壁大娘:狗剩,你給我出來!!!
注釋導致的資訊泄露
- 一、什么是資訊泄露漏洞?
- 二、資訊泄露有什么危害?
- 三、注釋是怎么導致資訊泄露的?
- 1、HTML注釋
- 2、JSP注釋
- 3、JS代碼
- 四、利用方式
- 五、如何防護
- 總結
一、什么是資訊泄露漏洞?
資訊泄露是指【網站無意間向用戶泄露敏感資訊】,一些安全意識淡薄的管理員或技術人員無法區分普通資訊和敏感資訊,從而將敏感資訊當做普通資料展示在前端原始碼中或者明文傳輸,
二、資訊泄露有什么危害?
【千里之堤,毀于蟻穴】,敏感資訊泄露雖然被評為危害較低的漏洞,但有些時候,就是這些敏感資訊往往會給攻擊者攻擊提供很大的幫助,一個微小的漏洞,經過攻擊者的巧妙利用,也有可能對企業和用戶造成巨大的危害
三、注釋是怎么導致資訊泄露的?
【注釋雖然不會被當做代碼執行,但可以在前端的原始碼中被展示出來】,攻擊者可以根據原始碼中的注釋內容進行針對性的攻擊,注釋的設計本是為了方便開發人員,提高研發的效率,開發人員會在前端頁面中寫開發程序中的注釋,由于安全意識淡薄,在專案上線前并不會將注釋洗掉,這些注釋可能會包含但不限于以下敏感資訊:
- 敏感目錄或檔案地址,比如后臺登錄地址
- 內網介面資訊
- 網站的基礎架構/技術細節
- 用戶相關資料,比如測驗用的賬號密碼
1、HTML注釋
HTML常用的注釋格式是
<!-- 注釋內容 -->,很多語言都會支持這種注釋,開發人員可能會在注釋內容中透漏一些敏感資訊,比如下面的這張圖片,泄露了測驗用的賬號和密碼
2、JSP注釋
并不是只有HTML的頁面才會導致資訊泄露,JSP頁面同樣存在這樣的問題,這主要是因為JSP頁面中支持使用HTML的注釋,JSP常用的注釋有兩種:
<%-- 注釋內容 --%>
這種注釋方式不會在前端原始碼中展示<!-- 注釋內容 -->
這種HTML的注釋會在前端原始碼中展示,并且很多開發人員習慣用這種HTML注釋,而不是使用上面的JSP注釋,如果一定要寫注釋的話,推薦使用上面的JSP注釋,
3、JS代碼
JavaScript 同HTML和CSS一樣,都會在前端原始碼中展示,這也是其導致資訊泄露的原因之一,JavaScript的代碼中通常會包含一些【敏感目錄或API介面】,比如下面這個JS代碼就暴露了目錄 /admin
四、利用方式
- 【手動分析】右鍵查看網頁源代碼,審計敏感資訊并利用(或者Ctrl+f搜索關鍵字)
- 【工具分析】爬蟲工具爬取網頁注釋內容,審計敏感資訊并利用
五、如何防護
針對注釋導致的資訊泄露,最有效的方法就是在專案打包上線之前【洗掉可能的敏感注釋】
總結
雖然網路安全的圈子不乏各種灰產,以及高調宣傳自己是黑客的腳本小子,但不可否認,這個圈子仍有不少人保持著【舉世皆濁我獨清,眾人皆醉我獨醒】的心態,努力磨礪技術,提升自身修養,讓互聯網變得更加安全,
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/308908.html
標籤:其他