25届应届网安面试,默认页面信息泄露

news/2024/11/14 19:57:20/

吉祥知识星球icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247485367&idx=1&sn=837891059c360ad60db7e9ac980a3321&chksm=c0e47eebf793f7fdb8fcd7eed8ce29160cf79ba303b59858ba3a6660c6dac536774afb2a6330#rd

《网安面试指南》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484339&idx=1&sn=356300f169de74e7a778b04bfbbbd0ab&chksm=c0e47aeff793f3f9a5f7abcfa57695e8944e52bca2de2c7a3eb1aecb3c1e6b9cb6abe509d51f&scene=21#wechat_redirect

《Java代码审计》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect

《Web安全》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect

《应急响应》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484262&idx=1&sn=8500d284ffa923638199071032877536&chksm=c0e47a3af793f32c1c20dcb55c28942b59cbae12ce7169c63d6229d66238fb39a8094a2c13a1&scene=21#wechat_redirect

《护网资料库》icon-default.png?t=N7T8http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484307&idx=1&sn=9e8e24e703e877301d43fcef94e36d0e&chksm=c0e47acff793f3d9a868af859fae561999930ebbe01fcea8a1a5eb99fe84d54655c4e661be53&scene=21#wechat_redirect

1.1.1 默认页面泄露漏洞

1.1.1.1 漏洞原理

应用在安装时,运维人员会按照说明文档进行默认安装,在默认安装后,中间件、插件、框架等会携带示例页面及说明文档。

1.1.1.2 漏洞危害

攻击人员通过访问默认页面,获取默认页面中的信息可以分析出网站使用的相关组件的版本、名称、甚至包含后台默认路径以及默认账号,攻击人员通过查找该网站使用技术的历史漏洞,可直接进行相应的漏洞攻击,极大缩短了攻击人员的攻击成本。

1.1.1.3 检测条件

网站正常运行;存在url控制点。

1.1.1.4 检测方法

1. 使用web漏洞扫描器或目录扫描器扫描对应用的web路径进行扫描探测,发现目标存在index.html页面,访问后发现为宝塔面板默认页面。

2. 依据网站使用的第三方组件和框架情况,查找相关默认页面,手工输入对应的相关页面路径,发现目标tomcat版本为9.0.40。

1.1.1.6 修复建议

总体修复方式:

1、删除默认页面;

2、如业务需求必须存在,建议使用白名单的形式进行限制。

推荐阅读:

学了这篇面试经,轻松收割网络安全的offer

护网主防资料库、护网设备讲解、护网初中高级别面试

Java代码审计零基础入门到整套代码审计

Web安全:靶场、渗透工具、信息收集、输入输出漏洞、业务逻辑漏洞

【护网必备技能】应急响应知识库


http://www.ppmy.cn/news/1517297.html

相关文章

模拟实现STL中的unordered_map和unordered_set

目录 1.unordered_map和unordered_set简介 2.unordered_map和unordered_set设计图 3.迭代器的设计 4.哈希表的设计 5.my_unordered_map和my_unordered_set代码 1.unordered_map和unordered_set简介 unordered_map和unordered_set的使用非常类似于map和set,两…

GATK ReadsPathDataSource类介绍

GATK(Genome Analysis Toolkit)是一个广泛使用的基因组分析工具包,它的核心库之一是htsjdk,用于处理高通量测序数据。在GATK中,ReadsPathDataSource类是负责管理和提供读取高通量测序数据文件(如BAM、SAM、…

android selinux报avc denied权限和编译报neverallow解决方案

avc: denied { read } for name“present” dev“sysfs” ino42693 scontextu:r:hal_health_default:s0 tcontextu:object_r:sysfs:s0 tclassfile permissive1 denied {xxx}: 表示缺少什么权限 scontext:表示谁缺少权限 tcontext:表示对那些文件缺少权限: tclass&am…

华为云 x 容联云|828企业节,助推中国数智产业实力再升级

2024年8月27日,华为第三届828 B2B企业节在2024中国国际大数据产业博览会上正式开幕。 828 B2B企业节是全国首个基于数字化赋能的企业节,由华为联合上万家生态伙伴共同发起,旨在为广大企业尤其是中小企业搭建数字化创新发展平台,融…

关于Arrays.asList返回List无法新增和删除?

这个是在写项目的时候发现的&#xff0c;然后就分析了一下源码&#xff0c;得其内部原理 复现代码示例&#xff1a; public class ArraysAsList {public static void main(String[] args) {Integer[] array {1, 2, 3, 4, 5};List<Integer> list Arrays.asList(array);…

网络通信tcp

管道通信与数据复制管道通信确实涉及数据复制的过程&#xff0c;这是由于管道的工作原理所决定的。下面详细解释一下&#xff1a;管道通信的数据复制 1. 写入管道&#xff1a;•当一个进程通过 write() 系统调用向管道写入数据时&#xff0c;数据实际上是从进程的用户空间复制…

PTA L1-010 比较大小

L1-010 比较大小&#xff08;10分&#xff09; 本题要求将输入的任意3个整数从小到大输出。 输入格式: 输入在一行中给出3个整数&#xff0c;其间以空格分隔。 输出格式: 在一行中将3个整数从小到大输出&#xff0c;其间以“->”相连。 输入样例: 4 2 8输出样例: 2-…

【单片机】PICC编译器和XC8编译器的历史发展,有什么关系

PIC 编译器的发展历史及其演变 在嵌入式系统开发领域,Microchip 的 PIC 微控制器因其广泛的应用、简单的架构和高效的性能,成为许多工程师和开发者的首选。在为这些微控制器编写代码时,编译器的选择至关重要。本文将介绍 Hi-Tech C 编译器(PICC)和 MPLAB XC 编译器的发展…