当前位置: 首页 > news >正文

如何自己做网站推广/网络推广赚钱平台有哪些

如何自己做网站推广,网络推广赚钱平台有哪些,制作软件教程,软件定制开发需要多少钱文章目录 信息泄露漏洞一文速通敏感信息の概念敏感信息の分类企业敏感信息用户敏感信息站点敏感信息 如何挖掘信息泄露漏洞?信息泄露风险清单(checklist)未授权访问类文件与数据泄露开发与调试信息泄露公共配置文件泄露其他敏感信息泄露点 威…

文章目录

  • 信息泄露漏洞一文速通
    • 敏感信息の概念
    • 敏感信息の分类
      • 企业敏感信息
      • 用户敏感信息
      • 站点敏感信息
    • 如何挖掘信息泄露漏洞?
      • 信息泄露风险清单(checklist)
        • 未授权访问类
        • 文件与数据泄露
        • 开发与调试信息泄露
        • 公共配置文件泄露
        • 其他敏感信息泄露点
      • 威胁情报信息泄露
        • 语雀公开知识库
        • 网盘搜索
        • GitHub

信息泄露漏洞一文速通

敏感信息の概念

  • 在法律框架中,敏感信息主要包括对自然人、个人隐私、商业机密的保护。从个人数据的角度看,敏感信息是指那些一旦泄露可能导致个人尊严受损,或造成财产损失的个人信息,如身份证号、信用卡号、住址、联系方式等。

  • 广义上,任何可以被利用、未经授权访问的数据信息均可视为敏感信息。

敏感信息の分类

企业敏感信息

不同领域对敏感信息的定义和保护要求不同,在挖掘企业SRC时,我们首先要明确目标企业的行业特性,以便有针对性地寻找潜在的敏感信息和评估其泄露风险。下面列举几例:

  • 物流行业:订单数据为核心敏感信息。例如顺丰的核心业务集中在订单管理系统,因此订单信息泄露将构成高危风险。
  • 租房/买房平台:租房合同、房屋设计图纸为重要的敏感内容。
  • 保险平台:客户数据及保单数据极为敏感,若被泄露将严重影响用户隐私及企业信誉。

挖掘企业信息时应特别留意其行业属性,从而更有针对性地关注该企业的敏感信息类型。

用户敏感信息

用户敏感信息一般包括姓名、身份证号、手机号、家庭地址、邮箱等,业内常用术语称之为“公民N要素”,即可识别个人身份的要素。在信息泄露中,当这些信息以组合形式出现(如姓名+身份证号),且泄露量超过一定阈值(如10条)时,便构成了信息泄露。

泄露的常见场景:

  • 社区、排行榜、评论区等凡是涉及加载其他用户数据的地方,都有可能存在信息泄露。为什么呢?因为一些接口可能仅在前端隐藏了敏感数据,但未加密的完整信息仍在数据包中可见。常见情况是前端显示用户昵称或ID,但接口返回的数据中包含了手机号、姓名等敏感信息。

  • 查询类接口:若接口鉴权不严密,常见的绕过手法是利用参数置空、修改 pageNopageSize 等参数,从而获得大量未授权的信息。关键字示例:infolistgetXXX。在挖洞过程中需要格外注意。

站点敏感信息

站点敏感信息指的是站点可能存在的敏感文件或目录。即大家最熟知的一类信息泄露漏洞,这里不过多赘述。

敏感文件、敏感目录的挖掘一般都是靠工具、脚本来找,比如灯塔、BBscan等。信息收集越完善,挖到敏感信息的概率就越大。


如何挖掘信息泄露漏洞?

信息泄露风险清单(checklist)

接下来我要隆重呈上我呕心沥血整理的「信息泄露风险清单」(Checklist)了。以便于大家在挖洞过程中备忘速查,明确当前场景属于哪一类信息泄露,或者当前场景最可能出现哪些信息泄露。

未授权访问类
  • 中间件及服务端口未授权访问
    • ActiveMQ
    • Atlassian Crowd
    • CouchDB
    • Docker
    • Dubbo
    • Druid
    • Elasticsearch
    • FTP
    • Hadoop
    • JBoss
    • Jenkins
    • Jupyter Notebook
    • Kibana
    • Kubernetes API Server
    • LDAP
    • MongoDB
    • Memcached
    • NFS
    • Rsync
    • Redis
    • RabbitMQ
    • Solr
    • Spring Boot Actuator
    • Spark
    • VNC
    • Weblogic
    • ZooKeeper
    • Zabbix
文件与数据泄露
  • 配置信息与敏感文件

    • phpinfo 信息泄露
    • 目录遍历漏洞
    • 历史记录文件 (.history)
    • 网站备份文件泄露(.rar, .zip, .7z, .tar, .gz, .bak)
    • .DS_Store 文件泄露
    • .svn 文件泄露
    • .git 文件泄露
    • WEB-INF/web.xml 配置文件泄露
    • XML文档数据泄露
  • 目录与页面泄露

    • 后台管理目录泄露
    • 网站安装目录和上传目录泄露
    • MySQL 管理页面暴露
    • 网站文本编辑器页面暴露
开发与调试信息泄露
  • API 文档与配置端点
    • Swagger 等 API 文档泄露
    • Spring Boot 端点泄露
    • Docker 数据与配置泄露
    • Sourcemap 文件(源码反编译)
    • 网站源代码泄露(如 GitHub 仓库)
公共配置文件泄露
  • robots.txt 文件
  • crossdomain.xml(跨域策略文件)
  • sitemap.xml 文件
  • 各类测试与临时文件
其他敏感信息泄露点
  • 地图 API 配置泄露
  • 监控系统配置泄露
  • 数据库信息配置泄露

威胁情报信息泄露

除了企业内部信息泄露,信息泄露也时常发生在第三方平台上。这类泄露问题的根源通常在于企业对外部平台上的敏感信息保护不足。以下是一些常见的外部泄露途径:

语雀公开知识库

语雀是一款知识管理工具,企业常用它来存储和共享内部文档。然而,如果权限设置不当或分享链接被公开,敏感信息极易被泄露。尽管经过多次整改,这类泄露风险有所下降,但仍然不容忽视。

关键词:服务器、123456、学号

网盘搜索

网盘搜索平台(如凌风云)汇集了大量资源,但其中也常有企业误上传的敏感文件。未经加密的文档、备份文件等一旦出现在公开目录中,企业数据就面临泄露风险。

GitHub

作为开源代码托管平台,GitHub是开发者的宝地,但也因信息误提交而成为敏感数据泄露的高发地。开发者偶尔会将 API 密钥、密码或源代码误提交至 GitHub 仓库中,这些信息可能会被不法分子利用,从而造成安全风险。


以上为敏感信息泄露的风险点分析及挖掘要点,安全人员在进行安全审查和渗透测试时,需充分利用上述信息并结合行业特性,避免不必要的信息暴露,为企业安全保驾护航。

相关文章:

信息泄露漏洞一文速通

文章目录 信息泄露漏洞一文速通敏感信息の概念敏感信息の分类企业敏感信息用户敏感信息站点敏感信息 如何挖掘信息泄露漏洞?信息泄露风险清单(checklist)未授权访问类文件与数据泄露开发与调试信息泄露公共配置文件泄露其他敏感信息泄露点 威…...

Android 启动时应用的安装解析过程《二》

上一篇内容说到InitAppsHelper这个类的initSystemApps函数,只说了一下几个重要参数的来源还没展开,这里继续,有兴趣的可以看链接: Android 启动时应用的安装解析过程《一》 一、系统应用的扫描安装 /*** Install apps from system dirs.*/Gu…...

智谱AI:ChatGLM强大的生成式语言模型

目录 智谱AI:ChatGLM强大的生成式语言模型 一、ChatGLM的定义与特点 二、ChatGLM的应用场景 三、举例说明 四、注意事项 智谱AI:ChatGLM强大的生成式语言模型 它通过对话的方式能够生成自然流畅的文本,这一特性使其在多个领域都有广泛的应用潜力,特别是在智能对话和智能…...

git tag

已经发布了 v1.0 v2.0 v3.0 三个版本,这个时候,我突然想不改现有代码的前提下,在 v2.0 的基础上加个新功能,作为 v4.0 发布。就可以检出 v2.0 的代码作为一个 branch ,然后作为开发分支。 要查看仓库中的所有标签 gi…...

Golang--反射

1、概念 反射可以做什么? 反射可以在运行时动态获取变量的各种信息,比如变量的类型,类别等信息如果是结构体变量,还可以获取到结构体本身的信息(包括结构体的字段、方法)通过反射,可以修改变量的值,可以调用关联的方法…...

ABAP:SET CURSOR FIELD设置鼠标焦点

SET CURSOR FIELD <字段名>&#xff1a;设置鼠标焦点到该字段 SET CURSOR 设置到鼠标焦点列还是行 SET CURSOR LINE 设置鼠标焦点到行 GET CURSOR field <字段名> &#xff1a;这个相对应的获取鼠标焦点得到的字段...

【专题】2024年全球生物医药交易报告汇总PDF洞察(附原数据表)

原文链接&#xff1a;https://tecdat.cn/?p38191 在当今复杂多变的全球经济环境下&#xff0c;医药行业正面临着诸多挑战与机遇。2024 年&#xff0c;医药行业的发展态势备受关注。 一方面&#xff0c;全球生物医药交易活跃&#xff0c;2021 - 2023 年的交易中&#xff0c;已…...

LabVIEW气体检测系统

随着工业化进程的加速&#xff0c;环境污染问题愈加严峻&#xff0c;尤其是有害气体的排放对人类生存环境构成了严重威胁。为了更好地监测这些有害气体&#xff0c;开发一个高效、准确且易于操作的气体检测系统显得尤为重要。LabVIEW软件开发的气体检测系统&#xff0c;采用激光…...

LeetCode78. 子集(2024秋季每日一题 58)

给你一个整数数组 nums &#xff0c;数组中的元素 互不相同 。返回该数组所有可能的 子集&#xff08;幂集&#xff09;。 解集 不能 包含重复的子集。你可以按 任意顺序 返回解集。 示例 1&#xff1a; 输入&#xff1a;nums [1,2,3] 输出&#xff1a;[[],[1],[2],[1,2],[3…...

推荐一款功能强大的视频修复软件:Apeaksoft Video Fixer

Apeaksoft Video Fixer是一款功能强大的视频修复软件&#xff0c;专门用于修复损坏、不可播放、卡顿、画面失真、黑屏等视频问题。只需提供一个准确且有效的样本视频作为参考&#xff0c;该软件就能将受损视频修复到与样本视频相同的质量。该软件目前支持MP4、MOV、3GP等格式的…...

Golang--网络编程

1、概念 网络编程&#xff1a;把分布在不同地理区域的计算机与专门的外部设备用通信线路互连成一个规模大、功能强的网络系统&#xff0c;从而使众多的计算机可以方便地互相传递信息、共享数据、软件、数据信息等资源。 客户端&#xff08;Client&#xff09; 客户端是请求服务…...

区块链技术在数字版权管理中的应用

&#x1f493; 博客主页&#xff1a;瑕疵的CSDN主页 &#x1f4dd; Gitee主页&#xff1a;瑕疵的gitee主页 ⏩ 文章专栏&#xff1a;《热点资讯》 区块链技术在数字版权管理中的应用 区块链技术在数字版权管理中的应用 区块链技术在数字版权管理中的应用 引言 区块链技术概述 …...

WPS单元格重复值提示设置

选中要检查的所有的单元格 设置提示效果 当出现单元格值重复时&#xff0c;重复的单元格就会自动变化 要修改或删除&#xff0c;点击...

Scala 的包及其导入

Scala使用包来创建用于模块化程序的命名空间。通过在Scala文件的顶部声明一个或多个包名称可以创建包&#xff0c;另一种声明包的方式是使用0&#xff0c;这种方式可以嵌套包&#xff0c;并且提供更好的范围与封装控制。对于包的导入&#xff0c;Scala与Java的区别之一便是&…...

架构师备考-概念背诵(软件工程)

软件工程 软件开发生命周期: 软件定义时期:包括可行性研究和详细需求分析过程,任务是确定软件开发工程必须完成的总目标,具体可分成问题定义、可行性研究、需求分析等。软件开发时期:就是软件的设计与实现,可分成概要设计、详细设计、编码、测试等。软件运行和维护:就是…...

DIP switch是什么?

**‌DIP开关&#xff08;DIP switch&#xff09;‌&#xff0c;也称为指拨开关&#xff0c;是一种可以人工调整的开关&#xff0c;通常以标准双列直插封装&#xff08;DIP&#xff09;的形式出现。**DIP开关一般设计在印刷电路板上&#xff0c;配合其他电子元件使用&#xff0c…...

【销帮帮-注册_登录安全分析报告-试用页面存在安全隐患】

联通支付注册/登录安全分析报告 前言 由于网站注册入口容易被黑客攻击&#xff0c;存在如下安全问题&#xff1a; 暴力破解密码&#xff0c;造成用户信息泄露短信盗刷的安全问题&#xff0c;影响业务及导致用户投诉带来经济损失&#xff0c;尤其是后付费客户&#xff0c;风险巨…...

2024年下半年系统分析师论文

2024年下半年11月份系统分析师考试论文 1、静态测试工具和方法 可以从代码桌前检查&#xff0c;代码审查&#xff0c;代码走查组织文章 2、DevOps开发 可以从开发&#xff0c;运维&#xff0c;测试的自动化协作入手&#xff0c;跨部门沟通需求也算 3、业务流程分析 从BPR…...

【计算机网络】万字详解 UDP 和 TCP

&#x1f970;&#x1f970;&#x1f970;来都来了&#xff0c;不妨点个关注叭&#xff01; &#x1f449;博客主页&#xff1a;欢迎各位大佬!&#x1f448; 文章目录 1. UDP1.1 UDP 报文格式1.1.1 源端口/目的端口1.1.2 报文长度1.1.3 校验和 2. TCP2.1 TCP 报文结构2.2 TCP 特…...

创建者模式之【建造者模式】

建造者模式 概述 将一个复杂对象的构建与表示分离&#xff0c;使得同样的构建过程可以创建不同的表示。 分离了部件的构造(由Builder来负责)和装配(由Director负责)。 从而可以构造出复杂的对象。这个模式适用于&#xff1a;某个对象的构建过程复杂的情况。由于实现了构建和…...

电商系统中,如何解决部分商品在短时间大量访问的单一热点问题?------Range范围分片

在电商系统中&#xff0c;部分商品在短时间内遭受大量访问的单一热点问题&#xff0c;可能引发服务器压力增大、响应速度变慢、甚至系统崩溃等问题。为了解决这一问题&#xff0c;可以采取以下策略&#xff1a; 一、增加服务器容量和带宽 提升硬件性能&#xff1a;为了应对高…...

利用VMware workstation pro 17安装 Centos7虚拟机以及修改网卡名称

通过百度网盘分享的文件&#xff1a;安装虚拟机必备软件 链接&#xff1a;https://pan.baidu.com/s/1rbYhDh8x1hTzlSNihm49EA?pwdomxy 提取码&#xff1a;omxy 123网盘 https://www.123865.com/s/eXPrVv-UsKch 提取码:eNcy 先自行安装好VMware workstation pro 17 设置虚拟机…...

前端 性能优化 (图片与样式篇)

文章目录 前端能够做哪些图片优化?1、减小图片体积2、图片缓存服务工作线程 (Service Workers)缓存IndexDB缓存图片LocalStorage缓存 3、图片懒加载使用 loading"lazy" 属性 4、不同分辨率下使用不同的图片5、使用webp格式的图片6、配置图片CDN7、减少图片和动图的使…...

A021基于Spring Boot的自习室管理和预约系统设计与实现

&#x1f64a;作者简介&#xff1a;在校研究生&#xff0c;拥有计算机专业的研究生开发团队&#xff0c;分享技术代码帮助学生学习&#xff0c;独立完成自己的网站项目。 代码可以查看文章末尾⬇️联系方式获取&#xff0c;记得注明来意哦~&#x1f339; 赠送计算机毕业设计600…...

量化交易系统开发-实时行情自动化交易-Okex市场深度数据

19年创业做过一年的量化交易但没有成功&#xff0c;作为交易系统的开发人员积累了一些经验&#xff0c;最近想重新研究交易系统&#xff0c;一边整理一边写出来一些思考供大家参考&#xff0c;也希望跟做量化的朋友有更多的交流和合作。 接下来聊聊基于Okex交易所API获取市场深…...

Qt教程(006):QMainWindow主窗口

文章目录 6.1 菜单栏和工具栏6.2 状态栏6.3 铆接部件QMainWindow是一个为用户提供主窗口程序的类,包含一个菜单栏 (menu bar)、多个工具栏 (tools bar)、多个错接部件 (dock widgets)、一个状态栏 (status bar)及一个中心部件 (central widget),是许多应用程序的基础,…...

测试用例的设计

测试用例的概念 什么是测试⽤例&#xff1f; 测试⽤例&#xff08;Test Case&#xff09;是为了实施测试⽽向被测试的系统提供的⼀组集合&#xff0c;这组集合包含&#xff1a;测试环境、操作步骤、测试数据、预期结果等要素。 比如我们买回来了一个新电视&#xff0c;要进行测…...

代码随想录训练营Day20 | 93.复原IP地址 - 78.子集 - 90.子集II

93.复原IP地址 题目链接&#xff1a;93.复原IP地址思路&#xff1a; 做法和分割回文字符串那题类似&#xff0c;是对字符串进行切割&#xff1b;本题需要多几个条件&#xff0c;就是每次回溯字符串的长度最多三位&#xff0c;字符串对应的数值必须 在[0, 255]之间&#xff0c;…...

[Meachines] [Medium] MonitorsThree SQLI+Cacti-CMS-RCE+Duplicati权限提升

信息收集 IP AddressOpening Ports10.10.11.30TCP:22&#xff0c;80 $ nmap -p- 10.10.11.30 --min-rate 1000 -sC -sV -Pn PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0) | …...

Elasticsearch专栏-4.es基本用法-查询api

es基本用法-查询api 说明查询所有某一字段匹配查询多字段查询bool查询范围查询精确查询正则匹配模糊查询结果处理 说明 es对数据的检索&#xff0c;总结下来就是两部分&#xff0c;即查询和处理。查询指的是查找符合条件的数据&#xff0c;包括查询所有、匹配查询、布尔查询、…...