记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

百度某处泄漏敏感信息(包括开发机密码等)

2014-07-24 19:30

问题出在googlecode上,其实对于批量扫描的时候,这些绝对可以拿来做密码字典来遍历。



以下一些都是通过googlecode出来的东西:



site:googlecode.com intext:baidu.com pass //这里为什么用pass而不用password,因为我发现password更精确,也就是说会错过不少更好的东西,一些开发人员为图简约极致,往往喜欢简写。譬如username 简写成user password简写成pass。当然这里我仅仅只是举例,还有一些什么常用,又非常危险的关键字呢?大概整理一些可能不全:

pwd

user

username

pass

password

rsync

ftp

svn

web.xml

config

tomcat

Apache

iis

system

user_name

pass_word



以上,类似。这个结果仅仅只是baidu.com+pass 其他的关键字呢?可能会有更多,这里抄送也希望百度对员工安全教育的时候不要忽视这么一部分。值得一提的是有些不要以为删除就了事了,更需要注意谷歌快照带来的危害,对于泄密的东西,一定要修改密码,关键业务测试业务和线上业务分离等等。。

漏洞证明:

1.jpg



2.jpg





3.jpg





4.jpg





5.jpg

修复方案:

上面说的比较清楚了,加强员工安全意识才能解决根本的问题。


知识来源: www.wooyun.org/bugs/wooyun-2014-064180

阅读:96238 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“百度某处泄漏敏感信息(包括开发机密码等)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云

本页关键词