敏感信息泄露
敏感信息泄露的核心在于数据在不需要主动攻击的情况下就已暴露:服务端配置错误、版本控制系统目录可访问、备份文件留在 Web 根目录、接口返回超出业务需要的字段——攻击者做的只是"看",而不是"攻"。 这类漏洞危害的放大路径是:泄露的凭据和配置信息往往直接解锁下一步攻击,单独一个信息泄露可级联成系统沦陷。
成立前提
文件/接口/服务在网络上可达,且访问不需要认证或认证可绕过;或者信息在传输/存储环节以明文形式出现在攻击者可读的位置(日志、错误信息、API 响应体、移动端本地存储)。
泄露路径
源码/仓库泄露
版本控制目录未从 Web 根目录排除:
.git目录:/.git/config可读时,用工具还原完整源码,连同数据库连接字符串、内网 IP、API Key 一并取走.svn目录:/.svn/wc.db包含所有受控文件的路径与内容,可直接提取- GitHub/代码平台泄露:员工将包含密码的配置文件(数据库密码、第三方平台 API 密钥、SMTP 账号)提交到公开仓库
备份文件直接下载
网站打包后的备份文件留在 Web 目录下,通过常见文件名猜测直接下载:
/backup.zip /www.tar.gz /db.sql /site_backup.rar
备份中通常包含数据库配置、管理员密码 MD5、历史 webshell 等。
API/OAuth Token 泄露
- OAuth
redirect_uri未验证:授权服务器未严格限制回调地址,攻击者构造带恶意redirect_uri的授权链接,受害者授权后access_token被带到攻击者控制的服务器 - JSONP 无来源校验:接口以 JSONP 形式返回用户订单、地址等数据,任意第三方页面可跨域读取
- 响应体包含凭据:密码找回接口将短信验证码写入响应 JSON;部分接口在返回中包含完整的 session token 或 API Key
运维配置不当
- Heartbleed(CVE-2014-0160):OpenSSL 心跳请求可读取服务端内存,泄露私钥、session token、明文账号密码
- 目录遍历:Web 服务器未关闭目录索引,
/backup/、/logs/、/config/等目录文件列表直接可浏览下载 - 错误信息泄露:生产环境开启 debug 模式,异常页面暴露数据库类型/版本、物理路径、SQL 语句
- 内部系统对外暴露:内部 Wiki、Bug Tracker、日志分析平台(Kibana/Elasticsearch)未设认证直接对外网可达
移动端泄露
- Android
Content Provider未保护:exported=true且无readPermission,其他 APP 可通过 SQL 注入读取应用数据库中所有表 - Logcat 明文日志:登录请求/响应被完整打印到 logcat,包含账号密码明文,其他 APP 可读取
- 本地文件明文存储:SharedPreferences 或 SQLite 中存储未加密的 token、收货地址等敏感字段
硬编码密钥
密钥内嵌于代码,意味着代码的访问边界与密钥的访问边界完全合并——开发者本地、历史 Git 提交、上传至公开仓库的配置文件均隐含泄露风险。攻击者取得源码后通常优先搜索明文密钥,直接用于连接数据库、调用第三方 API 或接管云账号。硬编码还有个隐性代价:轮换成本升高导致密钥长期不变更,一次泄露的影响窗口可能以年计。
防护核心是密钥与代码物理分离,只在运行时注入:发布时由集成系统将占位符(如 <ACCESS_KEY_ID>)替换为配置管理中心下发的真实值;或通过服务器环境变量/专用配置文件注入,应用启动时读取;也可由配置中心 Agent 定期拉取并加密写入本地,SDK 调用时解密。三种方案的共同前提是服务器访问权限最小化,且密钥轮换成本可控。
身份证号码
18 位身份证号码的结构是公开的:前 6 位为地址码(省市区),7-14 位为出生日期,15-17 位为顺序码(奇数男偶数女),第 18 位为可通过前 17 位精确计算的校验码。这种规律性使攻击者可以针对特定地区和年龄段批量构造合法候选号码,用于撞库、注册绕过或身份验证枚举;校验码可计算意味着校验只能过滤随机输入,无法防御有针对性的构造。
一个号码直接暴露持有者的出生年月日、籍贯省市区和性别,结合姓名与手机号足以完成多数平台的实名认证。实名制普及后身份证号码成为各平台账号的底层关联键,一处泄露可级联至多平台攻击。
数据库存储时使用不可逆加密或掩码版本(如 310***********1234),前端展示只显示部分位;身份验证接口严格限速并避免返回区分性响应("号码格式正确但信息不匹配")以防枚举;只在实名认证等必要场景采集完整号码,其他场景以三方认证结果(是/否)替代原始号码;传输必须走 HTTPS,禁止出现在 URL 参数、日志或错误信息中。
历史样本
Git/SVN 批量打包:大量企业站点将 .git/.svn 目录包含在发布包中,一个脚本工具批量扫描 /.git/config 可访问的站点,还原源码后获取数据库连接串和内网地址。
GitHub 配置文件泄露:员工将包含数据库密码、支付平台 API Key、企业邮箱账号的 config.php/application.properties 提交到个人或组织公开仓库,攻击者通过代码搜索引擎(GitHub Search / Sourcegraph)批量扫描关键词。
内部协作平台对外暴露:企业内部使用的项目管理系统、即时通讯平台、日志查询平台因 VPN 接入配置错误对外可达,内含数据库密码、运维操作记录、员工联系方式等。
OAuth access_token 被 redirect_uri 劫持:平台 OAuth 授权接口未严格校验 redirect_uri 是否属于应用注册域,攻击者构造指向自控服务器的回调地址,通过社工诱使用户授权,token 直接发送到攻击者服务器。
Heartbleed 读取服务端内存:未及时升级 OpenSSL 的 HTTPS 服务器,通过心跳请求可读取 64KB 内存内容,命中私钥、session cookie、用户账号密码明文的概率较高。
FTP 匿名访问暴露内部文件:企业内部文件共享服务器或运维 FTP 因配置疏漏对外网开放匿名访问,目录内含源码包、数据库连接配置、运维脚本、员工离职申请等内部文档,任何人无需认证即可浏览下载。
内网协作系统员工信息泄露:对外可达但未设认证的内部订餐系统、OA 考勤、内部通讯录页面,可遍历查看全体员工姓名、职级、部门结构;结合弱口令爆破企业邮箱后可进一步导出完整通讯录及 VPN 账号。
移动端本地明文存储凭据:Android 客户端将账号和明文密码写入 SharedPreferences XML 文件或应用私有目录下的 SQLite,iOS 客户端在界面渲染时将证件号码和绑定手机号直接回填到响应 body;获得 root 权限的同机应用或流量分析工具均可直接读取。
短信/通知平台 API Key 硬编码于前端:短信发送接口的账号密码或 API Key 直接拼接在前端页面 JS 或请求 URL 的查询参数中,攻击者在浏览器开发者工具即可获取,随后可以企业身份免费发送任意内容短信或伪造官方通知。
日志文件与搜索引擎索引泄露凭据:生产日志目录未屏蔽外部访问,日志内含用户登录请求的明文账号密码;或调试输出页面被搜索引擎收录,摘要中直接暴露密码哈希——攻击者通过 site: 语法批量检索即可获取大量有效凭据。
接口水平越权暴露用户详情:用户详情接口未校验当前登录者身份,仅凭请求参数中的用户 ID 即可获取任意账户的姓名、手机、证件号、余额等字段;遍历连续数字 ID 可批量导出全量用户数据,整套操作无需特殊权限。
DNS 区域传送暴露内网拓扑:DNS 服务器未限制区域传送(Zone Transfer)的请求来源,任意客户端均可拉取完整区域记录,一次请求即得全部子域名、内网 IP 段及主机名,省去了对目标资产的扫描步骤。
rsync 服务无认证对外开放:内部文件同步服务或邮件服务器的 rsync 端口未绑定内网 IP、未设置访问密码,外网可直接列举所有 module 并下载数据库备份、用户邮件存档、运维脚本等,整个过程不留认证日志。
Memcached / MongoDB 未设认证直接对外暴露:缓存或文档数据库服务默认不开启认证,部署时绑定到公网 IP,任何人可直接连接读写;Memcached 中可能缓存了 session token 和用户个人信息,MongoDB 中可能存储了完整业务数据表,攻击者无需任何凭据即可下载。
第三方平台凭据硬编码于前端页面:微信公众号 AppID/Access Token、推送平台 Key 等凭据直接嵌入 HTML 或 JavaScript,通过浏览器开发者工具即可获取;持有凭据者可调用平台全部接口,包括向所有关注用户推送任意消息或查询用户 OpenID 列表。
移动端 WebView 数据库明文存储第三方凭据:部分 Android 应用使用系统 WebView 加载第三方登录页面后,将账号密码缓存在应用私有目录的 webview.db 或 webviewCache.db 中;获得 root 权限的同机应用可直接读取,用户注销后记录仍然保留,相当于把第三方平台的明文账号密码托管给了宿主应用。
搜索引擎索引暴露敏感文档:Web 服务器未限制 robots.txt 或目录访问权限,导致含身份证号、成绩单、内部账号的文件被搜索引擎收录;攻击者通过 site: 加 filetype: 组合语法可批量检索并直接下载,无需任何认证,且被索引的历史快照在原始文件删除后仍可能通过缓存读取。
第三方运维监控平台泄露客户系统凭据:企业接入 Zabbix、Kibana、Grafana 等运维监控工具时使用弱口令或默认密码,平台内存储了被监控主机的 IP 列表、数据库负载指标及主机名;攻击者登录后可完整还原目标基础设施拓扑,并将监控数据中的连接字符串、告警规则中的凭据作为下一步横向移动的入口。
生产数据库 dump 误上传至测试或开发环境:运维人员为便于排查问题,将生产库备份文件复制到权限更宽松的测试服务器,或直接用生产连接配置启动开发环境数据库;测试环境通常无 VPN 隔离、认证形同虚设,攻击者扫描到开放的数据库端口后以弱口令直接连入,取得的是完整的生产业务数据。
交通监控平台凭据公开泄露:出行监控系统的管理员账号密码出现在公开渠道,任何人登录后可查询车牌对应的实时及历史位置轨迹;此类平台因行业性质往往存储高敏感度个人出行数据,凭据泄露直接等同于对大规模人群的位置隐私失控。
医疗数据库无认证对外暴露:就诊预约、病历管理等医疗平台将 Redis 缓存与 MongoDB 文档库直接绑定公网 IP 且未设访问控制,连接后可读取患者身份证号、联系方式、诊断记录等高敏感医疗隐私,医疗数据的特殊性使此类暴露的危害程度远高于普通业务数据。
员工邮箱入侵导致 VPN 配置泄露:企业 VPN 客户端配置文件以附件形式存储于员工个人邮箱,邮箱账号因弱口令或钓鱼被入侵后,攻击者直接导出配置文件并导入 VPN 客户端即可接入内网;这条"邮箱入侵→配置泄露→内网渗透"链路是横向移动的高效跳板。
Web 服务器配置文件直接暴露数据库凭据:服务器配置错误或异常页面将数据库主机地址、用户名、明文密码直接输出到 HTTP 响应,内容通常来自服务端配置文件或框架调试输出;持有这些凭据在同一内网即可直接连接数据库,无需任何横向移动。
源码压缩包打包后遗留在 Web 根目录:运维人员在服务器上执行打包操作后未清理产物,源码压缩包直接留在 Web 可访问目录下,任何人可直接下载完整代码;与 .git 目录泄露不同,此类文件无需专用工具还原,是最直接的源码获取路径。
敏感文件泄露作为逻辑漏洞入口:部分场景中信息泄露并非终点,泄露的配置文件、接口文档或内部路径为攻击者提供了绕过业务校验的依据,进而实现价格篡改、权限绕过等逻辑漏洞利用;泄露-利用两步链路使原本中低危的信息泄露升级为高危业务逻辑漏洞。
未鉴权分页查询接口批量导出用户数据:部分分页列表接口在设计时未纳入鉴权逻辑,响应体以 JSON 格式直接返回用户详情;遍历页码参数即可批量下载全量用户数据,API 接口比页面渲染层更容易在权限评审中被遗漏。
公开属性枚举账户敏感字段:账户查询接口接受用户名、昵称等公开可枚举的属性作为输入,响应中返回用户 ID、积分余额、充值记录等非公开字段,且无需鉴权;攻击者通过批量请求可构建用户画像,为精准欺诈或二次攻击提供数据支撑。
SNMP 配置不当泄露网络设备凭据:网络交换机或防火墙开启 SNMP 服务且 community string 使用默认值或无保护,攻击者通过 snmpwalk 枚举 MIB 树可获取设备用户名及密码密文;部分设备使用可逆弱加密算法,密文经公开脚本即可还原为明文,批量扫描同网段 SNMP 端口后可一次性获取整批网络设备的管理账号。
教育系统文档平台明文凭据列表泄露:教育机构将包含大量账号密码的 TXT 或 XLS 文件上传至对外公开的资源共享平台或网盘,文件内含管理员账号、考试系统教师账号、成绩管理权限等;通过搜索引擎或平台目录枚举直接下载,无需任何渗透技术即可取得高权限凭据。
源码泄露配合 phpMyAdmin 写入 Webshell:网站备份包通过 HTTP 可直接下载,源码中含数据库连接配置,同服务器开放的 phpMyAdmin 使用相同的数据库凭据;攻击者以 root 权限登录 phpMyAdmin 后利用 SELECT INTO OUTFILE 向 Web 目录写入 Webshell,信息泄露-数据库访问-代码执行三步链路完成全站控制。
Android WebView 任意本地文件读取:Android 应用使用 WebView.loadDataWithBaseURL() 加载内容时,baseUrl 与 data 参数均从外部输入获取且未做过滤;攻击者构造以 file:// 为 baseUrl 的恶意调用,可在文件域下执行任意 JavaScript,读取应用私有目录内的数据库文件、会话凭据或认证 token,实现跨应用数据窃取。
支付平台签名密钥暴露于日志接口:支付集成代码将完整的签名原串(含商户私钥)打印到可公开访问的日志接口或调试页面,攻击者无需逆向代码即可直接读取签名密钥;持有密钥后可伪造任意金额的支付请求,绕过金额校验实现低价甚至零成本充值。
WebLogic 测试环境默认凭据部署 Webshell 横向内网:对外暴露的 WebLogic 服务器使用默认或弱口令,攻击者直接通过 Web 控制台部署恶意 WAR 包取得 Webshell;测试或预发布环境通常与生产内网共享认证体系,利用此入口可枚举内网主机列表、访问核心业务数据库,内网权限远超 DMZ 环境所应具备的边界。
CDN 文件管理系统未鉴权暴露内部存储结构:CDN 或媒体处理平台的内部文件管理系统对外网可直接访问且无需认证,响应中包含任务状态、用户 ID、文件路径、哈希值等内部存储元数据;攻击者可借此枚举内部文件分发路径,结合其他接口实现未授权内容访问或资源盗用。
SVN 源码泄露暴露注入漏洞与任意文件上传:多个测试站点同时存在 SVN 目录可访问,源码分析发现登录验证逻辑存在 SQL 注入且可直接绕过认证;进一步审计发现文件上传接口缺少类型校验,可直接上传任意后缀文件;源码泄露将黑盒测试转变为白盒审计,大幅缩短漏洞发现周期。
内部邮箱弱口令泄露全套企业敏感信息:企业内部技术支持或运维邮箱使用与账号相同的弱口令,攻击者直接登录后可读取历史邮件中的服务器配置、数据库连接信息、员工工资单、内部系统账号及 VPN 配置文件;邮箱作为企业内部沟通枢纽,单点突破即可获取跨部门的敏感数据集合。
CMS 未修补 Getshell 漏洞配合服务器端多库配置泄露:生产服务器运行存在已公开 Getshell 漏洞且未更新的 CMS,Webshell 取得后在服务器文件系统中发现大量数据库连接配置文件,涵盖多个业务数据库的连接字符串;单一 CMS 漏洞利用后扩散至整台服务器的所有数据库,影响面超出单个业务系统范围。
序号连续可遍历的准考证接口批量导出考生信息:考试报名系统的准考证查询接口使用自增数字 ID 作为唯一标识且未加密,接口无鉴权也无频率限制;逐一递增 ID 参数可遍历全部考生记录,每条记录包含姓名、身份证号、报考专业、考场及座位号,整套操作与常规页面访问无异,极难被业务监控发现。
家用/企业路由器默认密码直接暴露宽带账号:宽带接入路由器管理界面使用出厂默认密码且未修改,登录后页面直接展示当前绑定的宽带账号和密码;批量扫描开放 Web 管理端口的路由器后可短时间内获取大量有效宽带凭据,凭据可用于二次拨号或定向社工。
PHP 探针/phpinfo 页面遗留在生产环境:phpinfo.php 或集成探针页面未从生产服务器清除,响应中包含 PHP 版本、已加载扩展、服务器物理路径、$_SERVER 环境变量及配置文件路径;攻击者据此可精确定位上传目录、确认可用的危险函数,将黑盒测试直接转为白盒利用。
运维自动化脚本硬编码凭据提交至代码仓库:运维人员编写的 expect/Shell/Python 脚本中直接包含 SSH 密码、动态口令种子或 FTP 账号,脚本被提交到公开或内部代码托管平台;与业务配置文件泄露不同,此类脚本往往包含跨多台服务器的统一管理密码,一份脚本即可横向覆盖整批主机。
企业员工通讯录全量 JSON 一次性下发至客户端:移动应用在初始化或登录时将全量员工信息(姓名、手机号、邮箱、部门、职级)以一个超大 JSON 响应体推送至客户端,本地缓存后即可离线查阅;抓包即得完整组织架构图,为针对性钓鱼和账号爆破提供精确目标列表。
文件存储路径可预测导致证件照批量遍历:云存储或 CDN 上托管的身份证照片、营业执照、企业资质图片采用"ID+时间戳"或"业务编号+日期"格式命名,路径规律可枚举;逐一递增 ID 组合请求可在无需任何认证的情况下批量下载高敏感证件影像,适用于实名认证平台、政务系统等场景。
AD 统一认证使邮箱弱口令直接映射内网访问权限:企业邮箱与 VPN、内网 OA 系统共用同一套 Active Directory 账号体系,邮箱因弱口令被攻破后,相同凭据直接可登录 VPN 并接入内网;邮箱的易攻击面(钓鱼、爆破、凭据撞库)被放大成内网入口,单点突破即等同于 VPN 认证被绕过。
WEB-INF/classes 目录下字节码与配置文件可直接下载:Java Web 应用部署时未在 Web 服务器层面屏蔽 WEB-INF/ 路径,攻击者可直接下载编译后的 .class 文件和 applicationContext.xml、hibernate.cfg.xml 等配置文件;字节码经反编译可还原完整业务逻辑,配置文件中包含数据库连接串和第三方服务账号。
移动应用将好友地理位置坐标缓存至本地 SQLite:社交或 LBS 应用在加载附近用户时将返回的 GPS 经纬度持久化写入设备本地数据库,记录在用户注销或应用卸载后仍可能残留;获得物理访问或 root 权限后直接读取数据库文件,可还原目标用户在特定时间窗口内的精确位置轨迹。
订单/工单 ID 结构可预测导致客户个人信息遍历:业务系统的订单号、工单号由日期前缀加自增数字构成,且查询接口无鉴权;遍历合法 ID 范围即可批量获取姓名、手机号、家庭地址等字段,涵盖家电维修、酒店住宿、医疗预约等典型场景,即使每次仅请求合法格式的 ID 也难以被速率限制识别。
员工个人网盘/共享平台存放包含凭据的内部文档:员工将含有账号密码列表、服务器访问说明、数据库连接配置的 Word/Excel/TXT 文件上传至对外可访问的文档平台或个人云盘,未设置分享权限或使用无需密码的公开链接;通过搜索引擎 site: 结合文件名关键词可直接命中并下载,操作门槛极低。
多系统密码复用导致一处泄露级联影响所有平台:员工在论坛、博客、内部系统等多处使用相同或规律性密码(如 前缀+网站域名),一处平台凭据泄露后攻击者以此为模板逐一尝试其他系统;此类"撞规律"攻击无需暴力枚举,成功率远高于随机爆破,且在日志中与正常登录行为无异。
移动客户端缺乏键盘记录防护导致登录凭据被窃取:Android 应用的账号密码输入框未设置 TYPE_TEXT_VARIATION_PASSWORD 等安全属性,或在 WebView 内嵌页面中使用明文输入;同机安装的恶意应用通过注册 InputMethodService 或监听无障碍服务事件可捕获完整输入内容,账号密码实时转发至攻击者控制的端点。
第三方 ERP/SaaS 平台 SQL 注入导致多租户数据交叉泄露:为多家企业客户提供服务的 ERP 或订单管理 SaaS 平台存在 SQL 注入漏洞,注入点通常位于 API 接口的查询参数;攻击者绕过租户隔离后可访问数据库中所有客户的订单、会员信息及店铺凭据,单一漏洞影响面扩散至平台上的全部入驻商家。
Struts2 框架漏洞上传 Webshell 后泄露邮件配置与业务数据:医疗、航空等行业系统使用存在已公开 RCE 漏洞的 Struts2 框架且未更新,攻击者直接上传 Webshell;Webshell 取得后读取服务器端配置文件,可获得邮件服务器账号密码及全院通讯录,进而连接数据库读取患者诊疗记录等高敏感业务数据,框架漏洞与信息泄露两步链路放大了单一漏洞的实际危害。
应用配置文件 SMTP 凭据明文存储暴露企业邮件系统:业务系统为实现邮件发送功能,将 SMTP 账号密码以明文形式写入 application.properties、Spring Bean XML 或自定义配置文件;这些配置文件随源码泄露或通过 Webshell 被读取后,攻击者可直接以企业官方地址向任意用户发送邮件,也可登录邮箱读取历史内部邮件,凭据往往同时适用于企业全局默认密码。
网盘/文档共享平台挂载账号密码列表文件:运维或教师将包含多个系统账号密码的 TXT 文件上传至公开可访问的网络硬盘或文档分享链接,通过搜索引擎或目标网站页面即可定位到分享地址;文件内往往包含管理员账号、考试系统密码、OA 账号等高权限凭据,无需任何渗透技术即可直接使用。
旅店/酒店订单查询接口无鉴权且订单号可遍历:连锁酒店预订系统对外提供订单查询接口,响应体包含入住时间、客户姓名、手机号、身份证号等字段,且接口无需认证;订单号由日期前缀加自增数字构成,遍历合法格式的 ID 即可批量下载住宿记录,与"查开房"等隐私场景直接相关,危害程度因业务性质而显著放大。
论坛 UC Key 泄露导致 Getshell:基于 UCenter 架构的论坛系统将全局 UC Key 存储在源码配置文件中,一旦源码通过备份包或 SVN 泄露,攻击者利用 UC Key 可直接构造任意 PHP 代码执行请求;UC Key 的权限范围覆盖整个 UCenter 应用族,单一配置项的泄露等同于所有关联站点的代码执行入口。
接口响应体明文返回身份证号与出行/培训记录:驾校报名、出行保险等业务接口在响应 JSON 中直接包含身份证号、出生日期、家庭住址、学号等字段,且接口参数为自增数字 ID,无鉴权也无频率限制;遍历 ID 参数即可批量获取真实姓名与身份证的精确对应关系,这类数据在黑产中可直接用于实名认证绕过或精准诈骗。
多租户 SaaS ERP API 注入泄露商户 AppKey/AppSecret:为电商商家提供订单同步服务的 ERP SaaS 平台在 API 接口参数中存在 SQL 注入,注入点通常位于商户验证参数附近;攻击者提取数据库中的 AppKey、AppSecret 后可冒充合法商家调用第三方电商平台 API,影响面扩散至所有接入该 ERP 的商家,并可进一步访问各商家的订单及会员数据。
金融平台弱口令后台暴露证件照与借款金额:面向个人借贷的金融平台后台管理系统使用通用弱口令,登录后可查看用户上传的身份证正反面照片、银行卡照片、个人收入凭证及当前借款金额和年利率;金融业务的证件照属于高敏感生物特征与实名信息的组合,泄露后可用于身份仿冒,同时修改借款金额接口的暴露使攻击者可以进行金融欺诈。
政务 VPN 弱口令进入内网后内部系统几乎无二次认证:政府或政务机构的 VPN 登录界面使用弱口令或已泄露的凭据对外开放,接入内网后大量内部系统(考勤、文件管理、应急响应平台等)直接可用默认密码登录,甚至无需认证;内网访问被视为安全边界,所有内部系统均假定连接者可信,VPN 是唯一防线,VPN 弱口令一旦突破则整个内网无纵深防御。
员工将支付 APP 源码及 RSA 私钥上传至公开代码仓库:开发或外包人员将移动支付应用的完整源码上传至公开代码托管平台,仓库内包含 RSA 签名私钥、第三方支付接口密钥、资金处理流程文档及开发服务器账号;私钥泄露后攻击者可伪造任意金额的签名请求,而资金处理文档则暴露了绕过校验的业务逻辑路径,远比普通配置文件泄露的危害更直接。
游戏/电商平台配置文件无访问限制暴露多库连接串:面向 C 端的游戏或商城平台将 config.txt、db_config.php 等数据库配置文件放置在 Web 可访问路径且未设任何认证,响应内容列出多个数据库的主机、用户名和明文密码;攻击者以平台自身凭据登录 phpMyAdmin 或直接连接数据库后,可访问用户积分、未兑换卡券、消费记录等完整业务数据,单个配置文件泄露覆盖全部数据库。
车辆 GPS 定位系统接口无鉴权暴露实时位置与车主信息:出行保险或车载 GPS 服务平台的查询接口接受车牌号或保单 ID 作为参数,响应中包含车主姓名、身份证号、联系方式及当前或历史 GPS 坐标,且接口无需认证;攻击者枚举保单 ID 或车牌号即可获取大量用户的出行轨迹,平台业务性质使此类泄露直接关联到人身安全风险。
源码压缩包内含 SQL dump 且密码哈希无加盐:开发环境的源码打包文件中附带完整的数据库 dump SQL 文件,dump 中用户表的密码字段使用无加盐 MD5 存储;攻击者下载源码包后无需接触数据库,直接对 dump 中的哈希进行彩虹表或字典碰撞,大量用户密码在极短时间内即可还原,与其他平台数据库的撞库攻击一并进行。
航班/登机信息被搜索引擎批量收录:航空公司或第三方票务系统将旅客姓名、航班号、座位号、登机时间及目的地以无需认证的静态页面形式对外暴露,且未在 robots.txt 中禁止抓取;搜索引擎收录后,通过 site: 加航班号关键词即可检索特定旅客的真实出行记录,整个过程不需要任何登录凭据。
WebLogic UDDIExplorer 组件暴露内网 IP 与端口:WebLogic 默认安装时开启 UDDIExplorer 管理页面且对外可访问,页面内 Setup 信息直接展示服务器的内网 IP 地址及监听端口;攻击者通过该信息确认内网地址段后,可将此作为 SSRF 攻击的起点探测内网服务,无需登录即可获取网络拓扑线索。
iOS 应用缓存好友精确 GPS 坐标至未加密本地文件:部分 iOS 社交或 LBS 应用在加载附近用户留言时,将返回的 GPS 经纬度坐标写入应用沙盒内的 SQLite 文件;通过第三方手机管理工具或备份工具可在未越狱设备上直接导出该文件,经纬度字段可还原目标用户在特定时间段内的精确地理位置,且用户卸载应用后历史记录仍可能残留在备份中。
生产日志目录被搜索引擎收录并可直接浏览:服务器日志目录绑定至公网可访问路径且开启目录索引,搜索引擎爬虫将日志文件路径及摘要内容收录;攻击者通过搜索引擎发现可浏览目录后,直接下载按日期命名的日志文件,文件内包含用户搜索关键词、支付请求详情、后台操作记录等,时间跨度可长达数年,敏感数据量远超单次接口暴露。
.NET web.config 备份文件 HTTP 可下载:ASP.NET 应用部署时将 web.config 或其压缩归档遗留在 Web 可访问路径,文件内包含数据库连接字符串、应用密钥(machineKey)、SMTP 账号及第三方服务凭据;与 PHP 配置文件泄露不同,machineKey 泄露后攻击者可伪造 ViewState 实现远程代码执行,危害等级显著高于仅获取连接字符串的场景。
企业内网邮箱地址可枚举配合统一默认密码批量登录:企业员工邮箱地址格式固定(如姓名拼音加域名),通过公开渠道或爬取官网可构建完整账号列表;邮箱系统使用全员统一下发的初始密码且大比例用户未修改,攻击者以单一密码对整个账号列表逐一尝试,无需暴力枚举即可批量成功;成功登录的邮箱往往同时授予 VPN 和内网系统访问权限。
OA 数据库备份文件部署于 Web 可访问目录:OA 或协同系统的数据库备份在运维操作后留存于 Web 服务器的公开目录,文件体积较大但 URL 可直接访问;备份内包含所有用户账号密码哈希、部门架构、流程审批记录及内部通知内容,持有备份的攻击者可在离线状态下破解密码哈希并对任意账号发起撞库攻击。
公安/政务服务申请查询接口 ID 可遍历暴露申请人信息:政务服务平台的业务申请查询功能以自增整数 ID 作为唯一标识,接口无鉴权也无频率限制;遍历 ID 参数可批量获取申请人姓名、联系方式、证件号及申请事项内容,政务场景的数据往往与户籍、出行管控直接关联,泄露后可用于身份仿冒或精准诈骗,且该数据属于典型的不可变更敏感信息。
借贷平台手机号查询接口无鉴权暴露用户真实身份:面向 C 端的消费金融或借贷平台提供"通过手机号查询用户是否注册"或"查询好友借贷状态"的接口,接口无需认证且返回完整用户画像(姓名、证件号、额度状态);批量请求手机号段即可构建用户实名数据集,金融数据中的借贷记录属于高敏感个人信用信息,在黑产中具有极高变现价值。
ISP/IDC 管理平台目录遍历暴露大量备案信息与后门文件:互联网接入服务商或域名服务商的上传目录因配置疏漏开启目录浏览,攻击者可直接下载包含 ICP 备案信息的批量数据文件;更严重的是上传目录内可能存留历史遗留的 Webshell 文件,以极低成本获得服务器执行权限后可进一步访问关联的多个客户数据库。
大学生/教育平台后台弱口令暴露全量学生信息及财务数据:面向在校学生的消费金融或校园 APP 后台管理系统使用可猜测的弱口令,登录后台后可查询全量学生信息(姓名、学校、手机号)、分期账单记录及平台财务数据;校园平台因用户群体特殊性,账单和收入信息泄露的危害不仅在于隐私,还直接关联到信用评估和精准诈骗风险。
内网服务器 root 密码硬编码于公开或半公开渠道:安全公司或运维团队成员在培训材料、事故复盘文档或问答平台中粘贴包含真实服务器用户名和密码的截图或代码段,内容直接以明文形式出现在搜索引擎可索引的页面;区别于配置文件泄露,此类凭据往往属于服务器 root 或云主机管理账号,一旦被利用即为最高权限直接访问,且目标方通常不知道凭据已暴露。
前端隐藏表单字段包含完整银行卡信息:账户绑卡页面将完整银行卡号和户主姓名渲染到 HTML 隐藏输入框中,用于前端回显展示;虽然表单控件不显示,但浏览器"查看源码"或开发者工具即可直接读取,攻击者通过遍历账户 ID 参数可批量导出用户真实银行卡信息,无需任何特权。
借贷/社交应用好友搜索接口批量枚举手机号:面向 C 端的金融或社交 APP 提供"通过姓名搜索好友"功能,接口无鉴权且不限频率;攻击者以常见姓名为输入进行批量请求,即使对方未接受好友申请,接口也在点击"添加"时直接返回对方手机号;通过覆盖足够多的常用姓名可构建姓名-手机号对应数据集,可用于精准电话诈骗。
VPN 账号重置接口在响应中泄露部分身份证号:企业 VPN 的密码重置流程需要提交真实姓名和身份证号作为验证,但重置接口的响应体中将脱敏不充分的身份证号(首位和末四位可见)直接返回给客户端;攻击者从其他渠道获得用户姓名和部分证件信息后,可结合出生年月暴力拼接出完整身份证号,最终完成 VPN 账号重置并接入企业内网。
企业 OWA 邮箱用户名可枚举配合默认密码批量登录:企业员工邮箱基于 Exchange OWA 对外开放,通过枚举常见员工姓名构造邮箱地址列表;以全员统一下发的初始密码对整个地址列表尝试登录,大比例未改密码的账号被批量突破;成功登录后,邮件历史记录中往往直接存有 VPN 说明文档和服务器登录凭据,邮箱弱口令成为进入内网的起点。
移动端 App 后台 SQL 注入控制强制版本更新推送:移动应用后台管理系统存在 SQL 注入,注入后可登录后台,后台提供 iOS 和 Android 的 App 版本推送功能,支持"强制更新"选项;攻击者将更新指向恶意应用包并触发强制更新推送,所有活跃用户在下次启动 App 时被强制安装攻击者控制的版本,影响范围等同于对全量用户的供应链攻击。
数据库 root 权限注入通过 load_file() 读取服务器配置获取跨站凭据:数据库账号以 root 身份运行时,SQL 注入可直接调用 load_file() 读取服务器任意文件;攻击者首先读取 Web 服务器配置文件获取同服务器其他虚拟主机路径,再逐一读取各站点数据库配置文件;单个注入点配合文件读取权限可一次性获取同服务器上所有站点的数据库凭据,影响面远超单个注入点本身。
源码压缩包内嵌 rsync 或 FTP 同步密码:整站源码以压缩包形式打包发布时,运维脚本或配置文件中包含内部文件同步服务的账号密码;下载并解压后可提取 rsync 密码,连接同步服务后不仅可以读取全部部署文件,还可以覆盖写入任意文件,将恶意脚本替换到 Web 目录实现任意代码执行。
区县医疗卫生平台输液/处方记录接口 ID 可遍历无鉴权:面向基层医疗机构的区域卫生信息系统将输液任务和处方记录以自增整数 ID 标识,查询接口对外开放且无任何认证;遍历 ID 参数可导出所有患者姓名、性别、年龄、临床诊断、科室床位、处方医师及用药明细,医疗数据的特殊性使此类泄露的危害超出普通业务信息泄露,且基层平台通常缺乏安全监控能力。
供应链采购平台订单接口无鉴权且编号可遍历:面向制造企业的供应链或采购管理系统的订单查询接口使用规律编号作为唯一标识,且无需任何认证;遍历编号可导出供应商名称、物料编号、采购单价、交货期等商业敏感内容,制造业采购数据中的价格和供应商信息属于高敏感商业机密,泄露后可被竞争对手用于定价策略分析或供应链攻击。
内网大量服务弱口令配合边界突破实现规模化横向渗透:企业内网 FTP、MySQL、MSSQL、SSH 等服务大量使用简单弱口令,在边界防火墙保护下长期未被发现;一旦通过 VPN 弱口令或其他边界漏洞接入内网,攻击者可在短时间内遍历整个内网段,以弱口令登录数百台服务器和数据库;内网被视为可信区域导致纵深防御缺失,边界突破直接等于全域沦陷。
iOS 应用沙盒数据库通过备份工具在未越狱设备导出:部分 iOS 应用将好友地理位置、聊天记录、认证 token 等写入应用沙盒内的 SQLite 文件,且未加密;通过第三方手机管理软件或 iTunes 备份工具在未越狱的普通 iOS 设备上即可导出应用私有目录的数据库文件;经纬度字段可还原目标用户在特定时间段内的精确位置轨迹,卸载应用后历史记录仍可能通过设备备份读取。
政府档案系统文件目录无认证对外暴露:政务系统的文件资源目录因访问控制配置缺失而对外网直接可达,目录内容包含居民档案、证件扫描件、审批材料等高敏感政务数据;搜索引擎通过特定语法即可定位开放目录,历史归档文件在原始链接删除后仍可通过缓存读取,政务数据的不可更改性使此类泄露造成永久性隐私损失。
旅行 App 多接口无鉴权且订单/常旅客 ID 可遍历:移动旅行应用的机票订单、酒店预订、常旅客信息分属不同接口,但均以可枚举的整数 ID 作为参数且无鉴权;攻击者依次遍历订单 ID 和旅客 ID,可逐步提取姓名、证件号、联系方式、行程记录等,三类接口的数据组合后可还原完整的用户出行画像。
OA 后台页面源码内嵌邮箱凭据:企业 OA 系统的核心配置页面以 HTML 渲染时,将邮件发送账号密码写入隐藏字段或 JavaScript 变量;登录后台的用户通过浏览器"查看源代码"或审查元素即可直接读取,无需任何抓包操作;邮箱凭据同时用于内部邮件系统,持有后可读取历史通讯录、财务文件及敏感内部邮件。
企业邮件/OA 系统弱口令暴露工资单与财务审批文件:企业协同或 OA 系统以默认或弱口令对外开放,登录后可查阅员工工资单、差旅报销记录、会议纪要及财务审批附件;这类文件通常存档于 OA 流程附件中,访问权限与业务账号绑定,弱口令一旦突破即可横向浏览其他账号在流程中共享的所有文件。
SVN 路径泄露内部系统地址配合弱口令批量登录:SVN 目录可访问时,除还原源码外,.svn/wc.db 或条目文件中记录的服务器地址可直接暴露内部 CRM、OA、预付款等系统的访问路径;攻击者以这些路径为起点,配合系统内通用弱口令(如 admin/123456)批量登录,多个内部系统使用相同密码是此类攻击成功的关键条件。
移动 App API Secret 硬编码配合多级接口调用批量提取业务数据:移动应用将 App-Id 和 App-Secret 直接写入 HTTP 请求头,抓包即得;持有凭据后可按业务逻辑依次调用列表接口、详情接口和用户信息接口,组合遍历逐步累积完整的经纪人姓名、手机号、业务 ID 等字段,多接口链式调用使单次凭据泄露的数据提取量远超单个接口。
政务/监管备份服务器 C 段扫描后对公网直接开放:政府或监管部门将专用于存放数据库备份的服务器绑定公网 IP,目录结构按业务区县和系统名称分层命名,且无任何认证;通过 C 段扫描或特定路径规律发现后,可直接下载覆盖多个地区的质检、行政许可、档案等数百 GB 业务数据库备份,影响面与后果远超单一系统泄露。
社工库/泄露数据撞库进入代码托管平台获取全量源码与凭据:攻击者利用互联网上流通的历史泄露数据库,对目标企业技术团队成员的邮箱账号进行撞库,命中后以相同凭据登录企业 Git 或 SVN 平台;由于代码仓库通常未做最小权限分组,登录后可访问全产品线源码、分支历史及代码中硬编码的数据库连接字符串、邮件发送密码、云平台 API Key 等,一次撞库等于获取企业完整技术资产。
Tomcat 管理控制台弱口令部署 WAR 包取得 Webshell:企业对外暴露 Tomcat Manager 管理界面且使用弱口令,攻击者登录后直接上传恶意 WAR 包并触发部署;与 WebLogic 控制台类似,Tomcat 管理界面在测试和预发布环境中更常见且更易被忽视,取得 Webshell 后可读取服务器上所有部署应用的配置文件,包含多个业务数据库的连接凭据。
云存储 Bucket 公开读权限暴露批量业务文件:对象存储 Bucket 配置为公开可读时,任何人可直接通过 HTTP 访问所有已存储对象;结合存储路径的命名规律(日期、业务编号、用户 ID),可批量枚举下载合同扫描件、用户证件照、财务凭证等;Bucket 公开策略与文件路径可预测两个条件同时成立时,攻击者无需任何凭据即可完整导出云端业务文件。
XSS 水坑配合社工获取管理员账号后批量提取源码与配置:攻击者在目标产品使用的第三方协作工具中植入存储型 XSS,以邀请参与者的方式诱导目标管理员触发;获取 Cookie 后登录账号,可查阅协作记录中的技术架构说明、数据库密码、代码仓库凭据;XSS 作为初始入口点,配合账号内的信息资产将危害放大为源码与多系统凭据的全面泄露。
数据库外连配置未限制来源 IP 允许跨网段直连:源码泄露后发现数据库配置中未指定 GRANT 的连接来源地址或允许 % 通配符,数据库服务端口未被防火墙限制;攻击者从公网直接以泄露的账号密码远程连接数据库,完全绕过 Web 层的应用访问控制,直接在数据库层面进行查询和导出,是源码泄露之后最直接的数据获取路径。
FTP 配置文件内嵌另一套 FTP 凭据形成链式跳转:运营商或企业内部 FTP 服务器对外匿名开放,可下载的压缩包或配置文件中包含另一台 FTP 服务器的账号密码;攻击者以此为跳板依次连入下一台服务器,每台服务器上又可能包含数据库连接字符串或应用部署文件,单个匿名 FTP 入口可沿链条扩展为对整批内网服务器的访问,最终取得 Webshell 或数据库权限。
被攻破邮箱中存储云平台访问凭据导致云账号接管:企业邮箱因弱口令被入侵后,攻击者翻阅历史邮件可直接找到阿里云、AWS 等云平台的 AccessKey、子账号密码或控制台登录链接;云账号一旦被接管,攻击者可枚举并下载全部对象存储数据、查看 ECS 列表及安全组规则、重置数据库密码,危害范围远超单台服务器沦陷,且云操作日志若未开启,整个过程可能无告警触发。
媒体播控平台弱口令导致物理公共设施可控:面向公共场所数字终端(电子阅报栏、广告屏、LED 牌)的内容管理平台使用弱口令对外开放,攻击者登录后可向全国所有终端下发任意文字或图像内容,并可对设备进行状态监控和强制重启;此类平台以弱口令作为唯一防线,物理公共设施与网络安全边界完全合并,单次登录的影响范围覆盖线下大量物理空间。
医院影像系统 URL 嵌入明文凭据且患者记录 ID 可遍历:医院云影像查询系统将登录账号和密码以明文参数形式拼接在 URL 中,用于认证影像查看权限;复制该 URL 在浏览器直接访问时可修改患者 ID 参数遍历全院拍片记录,持有 URL 中的凭据还可直接访问同服务器其他端口上的多套影像管理系统;医疗影像数据属于高敏感诊断信息,且患者通常无法感知自身记录已被第三方获取。
快递实名信息数据库备份文件直接可下载:邮政或快递企业将特急快寄业务的身份证信息数据库备份文件(.mdb/.xls 格式)存放于 Web 可访问目录,文件按年份命名且无任何认证;这类文件包含发件人/收件人的完整身份证号、姓名和联系方式,累积多年的历史备份可覆盖大量真实身份数据,快递实名制背景下此类泄露直接关联到不可更改的公民身份信息。
外包公司内部凭据泄露导致多家金融机构客户代码被访问:软件外包服务商将 FTP 账号密码在工作群组(QQ 群、钉钉等)中共享传递,群成员均可直接访问文件服务器;服务器内存放着多个金融机构客户(银行、证券交易所等)的项目源码;外包公司的内部凭据泄露将影响面放大到所有委托方客户,客户通常无法感知自身代码资产已暴露,且外包合同中的保密条款对此类事故几乎没有阻止效果。
高校工号作账号且默认密码与工号相同:高校 VPN 或内网系统以教职工工号作为登录账号,初始密码默认与工号相同,且工号列表可通过搜索引擎或官网教职工主页批量获取;攻击者构造工号字典后以工号同时作账号和密码逐一尝试,大比例未修改初始密码的账号被批量突破;成功登录后可访问 OA、图书馆资源、一卡通消费记录及校内通讯录,部分系统通过同套账号体系共享认证,单点突破扩散至全院系统。
邮箱弱口令破口后级联导出通讯录并经 VPN 文档进入内网:企业员工邮箱因弱口令被攻破后,攻击者通过 Exchange 协议导出全员邮箱地址列表;历史邮件中存有 VPN 使用说明文档(含服务器地址和认证方式),结合已破解的邮箱账号密码尝试登录 VPN,若企业邮箱与 VPN 共用账号体系则直接接入内网;SVN/Wiki 等内网系统中进一步可获取数据库连接配置,邮箱单点突破沿"通讯录→VPN→代码仓库→数据库"链路逐级扩大影响。
政务/监管文档平台明文账号密码列表文件对外可访问:政府或监管部门的内部文档共享平台因访问控制配置缺失,上传的包含系统账号密码的 TXT 或 Word 文件对外网直接可达;文件内容通常来自账号初始化批量下发或运维操作说明,包含对应多个内部业务系统的登录凭据;攻击者通过搜索引擎语法直接定位文件并下载,持有凭据后可登录财政、考勤、档案等内网系统,门槛极低。
专业资质证书照片归档系统 ID 可遍历无鉴权:政府建设主管部门或行业协会的从业人员资质证书查询系统将档案记录以自增数字 ID 标识,接口无任何认证;遍历 ID 参数可批量下载持证人员的正面照片、身份证号及档案编号,专业资质照片属于同时包含人脸生物特征与实名信息的高敏感数据组合,泄露后可用于身份仿冒或伪造证书,且批量导出后长期有效。
搜索引擎日志格式字符串发现可访问日志目录:Tomcat、Nginx 等 Web 服务器的访问日志以固定格式开头,攻击者将这类格式特征字符串(如 [http-8080- 等)直接输入搜索引擎,命中被搜索引擎收录的日志文件目录;进入目录后可按日期下载涵盖数年的交易流水日志、支付请求记录、用户会话参数,数据量远超通过接口漏洞单次获取的规模,且服务器通常不知道这些文件已被公开检索。
Exchange 协议批量导出员工地址列表后扩大爆破范围:企业邮箱基于 Exchange 对外开放时,攻击者以常见中文姓名构造账号字典爆破出第一个弱口令邮箱;随后利用 Exchange 地址簿同步协议一次性导出全量员工邮箱地址,以此为输入对整个邮箱系统发起新一轮爆破,成功率远高于盲目构造字典;完整邮箱列表同时包含真实姓名与部门信息,为后续针对 VPN 和内网系统的攻击提供精确目标。
员工密码命名规律推断:部分员工习惯在不同系统中使用固定前缀加站点名称的密码组合;攻击者在获取一处账号后观察密码构成规律,以相同前缀配合目标系统域名或简称逐一尝试,无需暴力枚举即可在多个系统成功登录;此类攻击在日志中与正常登录无异,频率控制也难以拦截,根本原因是密码管理依赖记忆规律而非随机生成。
IT 支持邮箱弱口令泄露全量内部通讯:企业技术支持、运维通知或服务台邮箱因账号名固定(如 support@、service@)且密码可猜测,攻击者定向尝试后直接登录;此类邮箱长期接收内部报障记录、系统账号通知、密码重置邮件及第三方服务开通确认,历史收件箱一次性泄露跨部门的服务器连接配置、数据库账号及员工通讯录,危害范围不亚于运维核心账号被入侵。
SVN 源码泄露暴露企业邮件系统配置:SVN 目录可访问时,版本库条目文件中不仅包含源码,还记录了邮件客户端配置(Lotus Domino、Exchange 等)的服务器地址和账号信息;攻击者从 .svn/wc.db 或条目文件中直接提取邮件服务器配置,以源码中泄露的账号密码登录企业邮件管理后台;控制邮件服务器意味着可读取全体员工历史邮件、伪造内部通知,影响面覆盖整个企业通讯体系。
已公开 RCE 漏洞跨站点批量利用:攻击者以搜索引擎查询特定框架版本的指纹字符串(如 eYou、Struts2 特定版本的报错格式),定位使用相同存在已知 RCE 漏洞但未更新的目标;同一漏洞在第一个目标验证成功后,批量扫描其他使用相同系统的站点;此类攻击门槛极低,公开 PoC 发布后未及时更新的站点在数小时内即可被批量发现并利用。
内部工作群组社工获取员工凭据:攻击者以伪装或真实身份加入企业内部工作群(QQ 群、钉钉群、微信群等),通过观察群成员个人资料、历史消息记录或直接索取工作文档,获取账号密码、员工工号、内部系统地址;企业内部群成员往往将工作凭据直接贴在群内或写在个人签名中,群内信任假设使这类信息传递不经过任何安全审查,单次入群可能覆盖整个业务线的操作账号。
VPN 重置接口泄露部分身份证号配合出生日期枚举还原完整证件:VPN 密码重置流程在响应中返回已脱敏但仍包含结构信息的身份证号段(如首位区域码与末四位校验位可见),结合可从内部通讯或社交平台获取的员工出生年月,攻击者枚举中间出生日期段即可拼接还原完整身份证号;持有完整身份证号后通过重置接口修改 VPN 密码,并以此接入企业内网,整条链路无需任何 SQL 注入或代码执行。
移动应用反馈入口存储型 XSS 直达管理后台:移动客户端的意见反馈、举报或评论功能将用户输入直接存入数据库且未过滤,管理员在后台查看反馈内容时触发存储型 XSS;攻击者构造携带凭据窃取或会话劫持 payload 的反馈内容,一旦管理员查看即获取后台 Cookie,随后以管理员身份操作后台系统;移动端输入入口在安全审查中常被忽视,而后台管理员则是最有价值的劫持目标。
招聘平台默认密码致海量简历数据泄露:人才招聘或职业社交平台的后台管理系统使用初始默认密码(如 admin),且账号名固定可猜;攻击者直接以默认凭据登录后可查询全量注册用户数据,包含姓名、手机号、电子邮件、工作经历、期望薪资等完整简历字段;简历数据的特殊价值在于个人职业背景与联系方式的精确组合,在精准电话诈骗和 B2B 非法营销中具有直接变现路径,且数据持有者通常不知道自己的简历已被无关方获取。
CMS 已知 Getshell 漏洞配合服务器遗留多个 MySQL 配置文件横向扩展:Web 服务器运行存在公开 Getshell 漏洞的 CMS 系统且未更新,攻击者取得 Webshell 后在文件系统中遍历发现大量遗留的 MySQL 数据库连接配置文件,涵盖与服务器共生的多个游戏、电商或业务模块;连接配置中包含各库的主机地址、账号和明文密码,逐一连接后可访问所有共生业务的完整数据;单一 CMS 漏洞利用将影响面扩散至同服务器上所有未隔离的业务数据库。
防御控制点
- 版本控制目录排除:
.git/.svn通过 web 服务器配置(location块或.htaccess)拒绝访问;发布脚本检查部署包不含 VCS 目录 - 备份文件管理:备份存储在 Web 根目录之外或独立存储服务,禁止通过 HTTP 直接访问
- 错误信息脱敏:生产环境关闭 debug 模式,统一错误页面不暴露技术栈信息
- OAuth 严格校验
redirect_uri:只允许预注册的精确匹配地址,禁止前缀/子域通配 - 移动端数据保护:敏感数据加密存储,不打印账号密码到日志,Content Provider 设置读权限
- 定期扫描:对自有资产定期做信息泄露扫描(备份文件、
.git/.svn、开放的内部系统)