程序员服装安全：分享与学习系列——信息泄露

”松开的嘴唇会沉没船“是第二次世界大战时期在美国流行的一句话。在那里，你听说 “粗鲁心脏大意的谈话会去生命”。这句话的要点是，粗鲁的心脏大意思是说我的感官信息可能会被人无意中听见，并导致 nigrenerege 的后果。

构造创建 Web 应用程序时，同样的原因也适用。当你的网络应用程序泄露过多信息时，攻击者可以更容易地进入这些信息。

在这篇文章中，我们将介绍什么是信息泄露、它为何危险，以及如何防止。

在露露中了解信息

信息泄露是指将内部信息暴露给不该看的人的网络应用程序。它也可以通过日志文件或用户界面显示感官的客户信息。无论哪种方式，攻击者都可以使用他们发现的信息来攻击您的系统或用户。

通常，攻击者的第一步是尝试在应用程序中试一试制造错误。错误处理和 Web 应用程序配置不当会导致错误消息导向信息泄露。如果攻击者在你的应用程序中创建错误会发生什么？如果出现技术消息，包括跟踪等技术细节，则表明您的信息过多。这些详细信息可能包括你正在使用哪个数据库或者你正在运行的应用程序服务器的哪个版本。

敏感信息泄露可能以其他方程式发出。表单上是否有包含敏感信息的隐藏字段？攻击者只需查看页面的源代码并查看其值即可。

简而言之，当用户知道自己的信息变量时，当我立即访问时，就会发生信息泄露。

了解为什么信息泄露是危险的

攻击者可以用应用程序暴露的信息做什么？如果信息本质上是敏感，则攻击者可以取消身份或用户认证。这可能导致经济损失、隐私和监控管道

如果攻击者使用错误消息获取有关应用程序的信息，则该信息可能会被用于将来的攻击。实际上， OWASP 测试指南 有一整节是关于 信息收集。

OWASP 测试指南南鼓鼓使用搜索引擎来查你可能不想知道你的网站信息。例如，你的管理页面是不是向搜索引擎公开？使用 robots.txt 文件告诉搜索引擎不能索引某些页面。同时，robots.txt 文件也可能泄漏信息。敏感网址有时间可以位于 robots.txt 文件中。攻击者提示文件并开始学习该网站的一些目录结构。

谷歌拥有先锋的搜索引擎选项，可以对网站进行深度检查。例如，您可以使用 “sit <domain>e e:” 语法在特定站点上进行搜索。您可以查看缓存的页面，这些页面的页面可能已被删除，但是 piskarites 位于先前引擎作用的缓存中。使用不同同的搜索引擎，例如bing和duckDuckGo可能会产生不相同的结果，因此请在每个搜索引擎引擎</domain>上测试您的网络应用程序。

HTTP 标题、网站横幅，是 HTML 和 JavaScript 代码中的评论，都可能包含攻击者不该看的信息。HTTP 标记可以显示应用程序服务器和版本号。攻击者可以使用这些信息来查找针对这些特定版本的漏洞。确切地保你了解攻击者可以在哪些不同的位置找到你的信息，以了解当地如何隐瞒这些信息。

打击泄露信息泄露

信息泄露是 Web 应用程序配置的问题。默认情况下，许多应用程序服务器都会在错误消息中返回跟踪消息。请务必更新改进 proclesApplication 程序的此设置，以重定向到通用的错误页面，同时记住录制错误以进行排除。不应该将详细的错误消息返回到用户的浏览器。

你有任何包含敏感信息的应用程序必需的文件，请确认保密的访问控制确认只有应用程序本身才能读取它。禁用服务器上面的目录列表并会将这些文件移出网络根目录目录。这可以阻止攻击者通过以下方式导航到文件使用浏览器 目录录普遍历程攻击。

如果配置不正确，则日志可用于收集集合信息。发生错误时，不记住录入敏感信息，例如密码、会话令牌或个人身份信息 (PII)。如果攻击者能够获得对日志文件的权限，他们就会发现大量的敏感信息可供获取。不要记住超过必需的次数，这通常是账号标识符、详细的消息，可能还有错误发生的方法或正在执行的操作。假设日志文件不是机密文件，你不会在其中放置位置敏感信息。

不要沉没你的 Web 应用程序

你真的可以和朋友说话时机泄露信息，直接接到一艘战舰在第二次世界大战中丢失失了吗？也许不是。但是为什么要冒险呢？这就是俗语的教导：“松开的嘴巴会使船只沉默。”

同样，没有理智地向外界公开 Web 应用程序。我没有理由查看完整的信用卡号或密码。没有理由 LOGFILE 中保存 PII 数据。所以不要这样做。 查看我们的学习资源 以了解有关信息的更多信息。

将应用程序在原处运行保存。不要沉没你的 Web 应用程序。

你知道你现在可以制止信息泄露了吗？勇士，挺身接战： [从这里开始]