手势密码

信息泄露漏洞详解

参考⽂章

tag：#信息泄露

Ref：

⼀、web的信息泄露

1、⽤户信息泄露

a.评论处

第⼀点

⼀般⽤户评论处⽤户的信息都是加密的，⽐如显⽰的是⽤户⼿机号或邮箱等，就会直接对中间的⼀段数字进⾏加密，但是有些可能就没有加

密，⽽是直接显⽰出来，那么这就造成了⽤户信息泄露问题。

第⼆点

如果加密不当，直接游览⽤户评论处时进⾏抓包，然后查看返回包就可以直接看到明⽂，但有的时候会有2个参数，就⽐如name：

1333******1这个值是加密的，但后⾯还会有⼀个testname这个参数就没有进⾏加密，从⽽导致⽤户信息泄露。

这⾥有⼀些⼩技巧，就⽐如⼀个买卖市场，他有⽤户评论的地⽅，有⼀个秒杀抢购成功的展⽰⽤户的地⽅，还有⼀个是⽤户相互交流的地

⽅，⼀般⽩帽⼦测试了第⼀个功能处发现不存在问题，然后就不继续测试其它相同功能处了，这个疏忽就可能会导致错过⼀个发现问题的机

会，每个功能处，加密机制有时候就会被漏掉，就⽐如⽤户评论处⽤户信息加了密，但是秒杀抢购成功的展⽰⽤户的地⽅却没有加密，所以

⽩帽⼦要更细⼼点。

第三点

⼀般评论处都会有⼀个追加评论功能和⼀个商家回复功能，那么此时如果对这个功能参数没有加以加密，那么通过抓包游览查看返回包就可

看到追加评论的⽤户信息和商家信息。

第四点

有些评论功能当中⽀持艾特(@)他⼈，那么在这个评论当中你通过@他⼈，然后输⼊信息点击发送到评论处时，通过抓包就可看到刚刚@的

那个⽤户的明⽂信息。

第五点

当这个⽹站评论地⽅被搜索引擎爬⾍到了，那么可以尝试利⽤搜索命令site:rl:XX⽬录在搜索引擎当中搜索，如果加密不完

全，那么就可以在搜索引擎当中看到明⽂信息。

b.转账处

第⼀点

很多⼤型公司都有⾃家的⾦融平台，然后在转账处，当你输⼊对⽅的转账的账户，⽐如⼿机号或者邮箱，然后当你点击其它地⽅，它会向服

务器发送⼀条验证信息，验证输⼊的此账户是否存在，如果存在，返回对应的⼿机号或者邮箱账户的⽤户姓名，⽐如*王（1333333XXX）

这样的返回信息，那么如果此时前端加密不当，可以通过抓包拦截这条请求，查看返回信息，就可看到明⽂的姓名。

第⼆点

⼀般在转账处输⼊⼿机号或邮箱账户的旁边，有⼀个历史转账信息，⼀个迷你的⼩页⾯，当你点击后会看到之前转账成功的信息，但是，如

果此页⾯加密不全，那么在点击查看历史转账信息时直接抓包查看返回内容就可看到明⽂的姓名。

c.搜索处

第⼀点

有些平台内置了搜索功能，跟搜索引擎思路很像，同样也是随意搜索，如果此时搜索的结果包含⽤户信息这块，那么就可能会导致⽤户信息

泄露问题。

d.个⼈页⾯处

第⼀点

在个⼈页⾯当中，直接游览时直接抓包，查看返回包就可看到⽤户信息是否未加密完全。⽐如⼀些⾦融APP，如果加密不当，当点击个⼈界

⾯时通过抓包查看返回包就可看到明⽂的⾝份证信息和⽤户名以及⼿机号。

当然这⾥不是只有涉及⾦融APP⽅⾯的才会有这个问题，只要是可以查看个⼈页⾯处都可能存在。

第⼆点

在查看银⾏卡信息那⾥，⼀般都是加了密的，但查看银⾏卡信息处时进⾏抓包查看返回包的时候就可看到明⽂的银⾏卡卡号信息和姓名信

息。

e.客服处

第⼀点

客服安全⽅⾯意思不⾜，⼤⼀点的来看就是公司没有对客服进⾏安全培训等，当你询问客服某⼿机号对应的姓名时，客服就会直接把姓名发

你，当然这要考验你是怎么问的了，还有如果失败了不要放弃，换⼀个客服继续测试。

1.越权导致⽤户信息泄露

a.任意查看

第⼀点

很多平台需要进⾏实名制认证，在上传实名制所需要的⾝份证照⽚等信息图⽚时，如果没有对所产⽣的⽂件名格式进⾏复杂化的话，那么极

有可能会存在任意查看，通过批量的⽅式就可以进⾏这些步骤，⽐如你上传了图⽚，服务器⽣成的图⽚地址是/xxx/xx/

这样短的数字格式⽂件名的话，就会存在该问题。

第⼆点

购物平台当中，在添加地址或修改地址的地⽅，如果权限没过滤好，就可以越权进⾏查看任意⽤户的地址信息。

第三点

在某些平台当中，⽀持添加⼦账户，然后随便添加⼀个⼦账户，然后在查看该⼦账户的时候进⾏抓包，修改其ID值，就可以查看任意账户信

息

第四点

有些平台有操作⽇志或其它⽇志功能，那么如果此时对当前⽤户的权限过滤不当，那么就可以查看全部⽤户操作时产⽣的⽇志，从⽽导致信

息泄露。

第五点

在很多⾦融平台当中，在修改昵称那⾥或者查看个⼈信息那⾥，提交时抓包，修改其⽤户值为存在⽤户的任意值，那么就可能造成查看任意

⽤户信息的问题。

第六点

如果你进⼊了⼀些内部员⼯平台，那么如果具有搜索功能，就⽐如你输⼊了员⼯⼯号然后它会返回这个员⼯的所有在职信息，那么此时你可

以通过抓包批量进⾏提交员⼯⼯号，就可造成⼤范围的信息泄露。

第七点

随便买⼀个东西⽣成订单，如果此时权限控制不当，就可以越权查看到任意⽤户的订单，那么信息也⾃认⽽然的泄露出来了。

b.任意重置

第⼀点

如果权限控制不当，可导致任意⽤户密码修改的话，那么登录后就可查看该⽤户的任意信息，这也就导致了⽤户信息泄露。

c.任意修改

第⼀点

在下单的时候修改其⽤户ID为任意存在⽤户的ID，然后下单，然后查看刚刚下单的信息，就可看到该⽤户的收货地址信息，只要对⽅设置了

收货地址。

2.接⼝⽅⾯的⽤户信息泄露

第⼀点

很多业务⽹站在上线的时候都忘记把测试时的接⼝进⾏关闭，从⽽导致这个接⼝可以查询⼤量⽤户信息。那么此类接⼝怎么找呢？

其中之⼀的⽅法通过⽹站进⾏搜索相关域名进⾏查找。

3.注⼊⽅⾯的⽤户信息泄露

第⼀点

注⼊可以说是⾮常⾮常的严重，因为注⼊往往都能得到很多信息，如果没做好相关过滤以及防护，就可导致注⼊，从⽽数据库内的各种数据

⾯对裸露的危险。

2、服务器路径信息泄露

1.上传图⽚处

第⼀点

在上传图⽚处，这⾥我说下最可能存在问题的点，就是关于上传相关证明，进⾏实名制上传信息等功能页⾯，在上传图⽚时进⾏抓包，然后

查看返回包，那么就可看到当前服务器的绝对路径信息。

处

第⼀点

⼀些XML限制或删除不完全，可导致服务器等信息泄露。

3.第三⽅的服务处

很多，如：ApacheTomcat、Struts2、CMS、zabix、Nginx等等，例如Nginx的某版本解析漏洞，就可造成路径信息泄露。

4.利⽤报错问题

在处理报错信息的问题上如果处理不当，就可导致路径信息泄露，⽐如访问⼀些不存在的⽂件等思路。

3、员⼯信息泄露

1.各第三⽅平台当中

第⼀点

Github，很不错的开源社区平台。⼀些员⼯喜欢将⾃⼰的信息上传到这平台上，但是往往忽视了安全，有时这上传的代码当中就可能包含很

多内部测试员⼯的账户以及密码信息等。

第⼆点

在搜索QQ群那⾥，通过搜索企业昵称，往往都可以搜索出来关于企业员⼯或企业⽅⾯的信息，⼀般都会贴在公告当中，⽐如某某测试账户

等。

当然，你也可以申请加⼊群进⾏查看群⽂件，看是否有铭感的信息。

第三点

百度贴吧当中，⼀般都有公司员⼯创建的贴吧，如果安全意思不⾜，那么就会泄露相关员⼯⼯号，可⽤作暴⼒破解的字典。

2.弱密码问题

第⼀点

在⼀些涉及内部员⼯⽅⾯的系统，如果员⼯密码为弱密码，那么就可通过暴⼒破解⽅式进⾏尝试登录，如果成功爆破到了员⼯账户，那么⼀

般只要是内部员⼯系统该账户都可以登录，那么所造成的影响也是很⼤的。

4、数据库信息以及服务器信息泄露

1.各第三⽅平台

第⼀点

Github，⼀些员⼯如果安全意识不⾜，同样上传的代码当中就包含了数据库连接信息以及服务器信息。

第⼆点

利⽤搜索QQ群的思路，如果员⼯的安全意识不⾜，那么数据库连接信息以及服务器信息就会在公告或群⽂件当中

处

第⼀点

同样在XML⽂件当中，也可能会发现数据库连接信息以及服务器信息。

处

第⼀点

svn是⼀个开放源代码的版本控制系统，如果没有加以限制或者删除，那么就可以游览相关的⽐较隐蔽性的源码。

4.数据库⽂件

第⼀点

⼀些数据库相关⽂件如果删除不当或者摆放位置不当，那么极有可能被下载下来，造成危害。

5.其他⽂件

第⼀点

⽐如其它类型的⽂件，如Txt、Doc、Excel等⽂件，如果包含铭感信息，那么危害也是显⽽易见的。

⼆、app的信息泄露

1、敏感域名信息泄露

1.本地⽂件

⼀些⽐较隐私性的域名可能会包含在APP本地⽂件当中，⽐如某内部员⼯登录系统的APP，但是由于有证书校验，你也抓不到数据包，此时

你可以查看该APP的本地⽂件，然后就可看到本APP内调⽤的是哪些域名，然后还有相关的域名。

2、密码泄露

第⼀点

⼿势密码也存在在本地⽂件当中，如果没最好相关校验或加密，那么⼿势密码就可能会泄露并且被利⽤。

第⼆点

⼀些APP问题就是把⽤户登录的信息保存在本地，⽽且账户密码都是以明⽂保存在本地⽂件或本地Sqlite数据库当中，很容易被利⽤。

第三点

⼀些APP也会把登录成功的Cookie保存在本地，那么只要找到相关⽂件复制下来这个Cookie，就可以任意登录了。