admin管理员组

文章数量:1487745

实战案例(3):OWASP Top 10 2021 失效的机密性 1

案例一:GitHub泄露源代码

小米VPN账号密码泄露证实可登录 .php?wybug_id=wooyun-2014-076482

安全风险【已修复】:

  1. GitHub代码(/**/**/blob/**/PswHelper/src/com/example/pswhelper/GridActivity.java)泄漏邮箱帐号密码,登录邮箱后找到有道云笔记的帐号密码,登录有道云笔记后可翻找到VPN的帐号密码;
  2. 邮箱可用于重置密码;
  3. 邮箱可发送附件式钓鱼邮件进行鱼叉攻击,员工点击附件后攻击者就能获得员工电脑的控制权限。

安全建议:

  1. 定期排查GitHub、GitLab等代码平台中与企业相关的代码,查找是否存在帐号密码(可登录)、后端代码(可审计0day漏洞)等敏感信息,并联系对应人员进行修复和删除。
  2. 建议使用双因子登录,例如:短信验证码、动态令牌。对于无法使用双因子的应用,建议强制用户定期修改密码。

案例二:GitHub泄露源代码

民生电商某处信息泄露至大量员工信息泄露(一) .php?wybug_id=wooyun-2014-077513

安全风险【已修复】:

  1. GitHub代码(/**/**/blob/**/service/mail.js)泄漏邮箱帐号密码,登录邮箱后找到SVN的帐号密码;
  2. 邮箱可用于重置密码;
  3. 邮箱可发送附件式钓鱼邮件进行鱼叉攻击,员工点击附件后攻击者就能获得员工电脑的控制权限。

安全建议:

  1. 同案例一。

案例三:网站备份文件泄漏源代码

畅捷通网站源码下载 .php?wybug_id=wooyun-2014-066740

安全风险【已修复】:

  1. 畅捷通某网站(http://**.**.**.**/Exam.rar)泄漏网站源代码。

安全建议:

  1. web目录禁止存放网站源码等与业务无关内容。

案例四:网站备份文件泄漏源代码

中信某业务数据库配置信息泄露 .php?wybug_id=wooyun-2014-076966

安全风险【已修复】:

  1. 中信银行某网站(http://**.**.**.**/MallWeb.zip)泄露网站源代码,里面的配置文件(\WEB-INF\classes\conf\serverport.properties)泄露了帐号密码。

安全建议:

  1. 同案例三。

案例五:社工库泄漏个人帐号密码

如家快捷酒店OA系统密码泄漏 .php?wybug_id=wooyun-2014-059458

安全风险【已修复】:

  1. 使用谷歌语法 “inurl:mail site:homeinns” 获得邮箱系统登录地址:mail.homeinns;
  2. 使用社工库搜索 “@homeinns” 获得帐号密码:xj**@homeinns/22****3,但是成功登录邮箱后并未翻到有价值的信息,但是可以发送附件式钓鱼邮件进行鱼叉攻击,员工点击附件后攻击者就能获得员工电脑的控制权限;
  3. 使用谷歌语法 “intitle:login site:homeinns” 获得OA登录地址:oa.homeinns,使用邮箱验证码进行密码重置,登陆后可查看通讯录,获取公司所有员工的个人信息。

安全建议:

  1. 建议使用双因子登录,例如:短信验证码、动态令牌。对于无法使用双因子的应用,建议强制用户定期修改密码。

案例六:社工库泄漏个人帐号密码

58同城某站管理员密码泄漏(大数据) .php?wybug_id=wooyun-2014-054654

安全风险【已修复】:

  1. 使用谷歌语法 “site:58 inurl:profile 管理员” 获得内部论坛网站 https://**.**.58/ 的管理员用户id:j****7;
  2. 使用社工库搜索 “j****7” 获得帐号密码:j****7/19****13,可成功登录内部论坛获得管理员权限。

安全建议:

  1. 同案例五。

案例七:社工库泄漏个人帐号密码

19楼内网漫游记 .php?wybug_id=wooyun-2014-073687

安全风险【已修复】:

  1. 在百度文库(.html)发现一份十九楼网络股份有限公司的《FOXMAIL使用教程》,判断文档上传者 eth****90 是19楼公司员工;
  2. 使用社工库搜索 “eth****90” 获得帐号密码(**飞(eth****90) **xf-1983 1838**@qq);
  3. 使用帐号密码可以登录19楼公司的邮件系统(https://**.**.**/extmail/cgi/index.cgi)和社区论坛(http://**.**.**);
  4. 在邮件和论坛中搜索敏感信息,最终获得OA、DW、Love、Mantis、SNS、OMWIKI、redmine、Review Board、安全审核后台等多个系统的帐号密码并成功登录;
  5. 继续搜索敏感信息,获得VPN的帐号密码并成功连上VPN进入内网。通过Structs2等漏洞等拿下shell权限,并提权到系统管理员,利用mimikatz成功获取到域控管理员的帐号密码,至此内网近百台计算机均已沦陷。

安全建议:

  1. 同案例五。

案例八:百度文库泄漏帐号密码

中石化信息泄露可登录邮箱VPN(危机内部员工敏感信息) .php?wybug_id=wooyun-2015-0125660

安全风险【已修复】:

  1. 百度文库找到中石化的《**系统登录》文档,里面提到邮箱的默认密码和帐号一样。网上收集中石化的邮箱帐号,使用相同的帐号密码成功登录邮箱。进一步翻找联系人通讯录,可以登录大量员工的邮箱,包括公司领导、关键岗位员工。

安全建议:

  1. 定期排查百度文库中与企业相关的文档,查找是否存在帐号密码(可登录)等敏感信息,并联系对应人员进行修复和删除。

案例九:百度文库泄漏帐号密码

某文库泄漏某省某系统sslvpn账号一枚 .php?wybug_id=wooyun-2015-0130298

安全风险【已修复】:

  1. 百度文库泄漏《计划生育技术服务管理信息系统》文档(.html),里面提到VPN的默认帐号密码。

安全建议:

  1. 同案例八。

案例十:百度文库泄漏帐号密码

利用百度文库可以快速渗透互联网企业 .php?wybug_id=wooyun-2014-065523

安全风险【已修复】:

  1. 在百度文库中搜索关键词 “用户 密码 http://oa”、“初始密码 http://oa”、“新员工入职 密码”,可以获取大量敏感信息;
  2. 以某公司为例,可以获得金盾防火墙的帐号密码并成功登录。

安全建议:

  1. 同案例八。
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-07-01,如有侵权请联系 cloudcommunity@tencent 删除登录网站安全owasp百度

本文标签: 实战案例(3)OWASP Top 10 2021 失效的机密性 1

版权声明:本文标题:实战案例(3):OWASP Top 10 2021 失效的机密性 1 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.betaflare.com/shuma/1754851759a3180395.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。