敏感信息泄漏 - 备份文件

  备份文件:Web源码泄漏、日志泄漏

漏洞场景:Web源码泄漏

点击访问链接:

www.zip
tips
  由于开发/运营人员疏忽,将源码的压缩包(如.zip、.tar.gz、.bak)放置在Web目录下,未做访问限制

缺陷代码

漏洞场景:日志泄漏

点击访问链接:

JavaSecLab_logs.txt

跳转后乱码的话,需要改下编码(UTF-8)

tips
  在开发过程中,为了调试便捷,开发者常会输出一些敏感信息到日志中,例如登录信息(Session、Cookie、用户名、密码)以及SQL执行记录。这些日志内容通常会被定期打包备份,如果备份日志未妥善管理或被泄漏,攻击者可能获取其中的敏感信息,利用这些信息实施攻击。尤其是在登录时启用“记住我”功能的情况下,Cookie/Session通常会具有较长的有效期(如两周),进一步增加了被利用的风险,最终可能导致凭证劫持

缺陷代码