burp 練兵場之信息泄露

here404 2021-09-19 23:06:22 阅读数:112

burp 信息 泄露

0x00 話題切入

今天繼續了解一下burp練兵場關於信息泄露的漏洞。

信息泄露對於測試非常重要,經常利用泄露的信息可以了解到系統更多的功能細節,進而擴展利用面。


可以利用信息泄露拿到什麼

  • 關於用戶、用戶名稱的金融數據

  • 敏感的商業數據

  • 關於網站或者技術架構的細節信息

若幹例子:

  • robots.txt泄露的路徑信息、網站結構

  • 臨時web源碼等備份文件

  • 錯誤信息中的數據包、列信息

  • 銀行卡詳情信息

  • 硬編碼的key,數據庫憑證,ip地址信息。

  • 通過應用程序行為的細微差別來提示是否存在資源,用戶名等  

信息泄露怎麼發生的:

  • 一些應當放在內網的資源公開到了互聯網

  • 錯誤配置 開發者注釋

  • 軟件或者設計缺陷

0x01 如何發現信息泄露

挖掘信息泄露的關鍵是不要在思路上受到限制, 因為信息泄漏可能發生在任何地方 。

同時burp提供了一些技巧來發現信息泄露問題。

  • fuzz技術

  • 在Intruder中將可疑參數點設置為payload比特,並填充由可能的情况組成的列錶(字典)

  • 通過觀察狀態碼,響應時間,長度等判斷异常情况

  • 使用Option中的Grep功能可以對響應進行特征提取方便篩選出預期結果

  • 使用burp掃描模塊

  • burp作戰工具

    • search

    • comment

    • content

  • 分析漏洞返回

0x02 泄露源頭

  • 文件爬蟲

  • 目錄列出

  • 開發者注釋

  • 錯誤信息

  • 調試信息

  • 用戶頁面

  • 備份文件

  • 不安全的配置

  • 版本控制曆史

    0x03 具體實驗

    錯誤信息,在參數後輸入特殊字符,導致報錯,泄露了框架版本。


    如下在返回報文發現debug頁面,順利找到key。

    備份文件

    順利發現key,或者使用自帶的路徑掃描功能。


    trace方法泄露



    0x04 總結

    其實每一個靶場burp都提供了很完善的方案,精美准確,可以通過該處查看。


    版权声明:本文为[here404]所创,转载请带上原文链接,感谢。 https://gsmany.com/2021/09/20210919230621592r.html