1.13 实验#13:testfire网站能获得admin密码
缺陷标题 testfire网站admin登录密码泄露导致任何人都可访问管理员页面。
测试平台与浏览器 Windows 7(64 bit)+IE 11或Chrome。
测试步骤
(1)打开testfire网站http://demo.testfire.net/admin/login.aspx。
(2)右击,选择“查看网页源代码”命令,显示网页源代码,如图1-25所示。
期望结果 网页源代码中不会泄露敏感信息。
实际结果 网页源码中包括admin密码,并且用这个密码可以登录,如图1-26所示。
图1-25 Chrome从网页源代码中找到admin密码
图1-26 用admin密码登录页面
专家点评
2017年Web十大安全中敏感信息泄露已经排在第三名。程序员无意的信息泄露可能会给网站带来致命的伤害。本例所列举的是HTML注释导致的安全泄露,当然JavaScript注释、log日志、调试信息等都可能导致敏感信息泄露。
美国CSI/FBI的调查显示,80%的安全威胁来自企业内部,将近60%的离职者在离开时会携带企业数据。Ponemon研究所(Ponemon Institute)进行的一项调查研究显示,内部泄密已经成为企业数据外泄的头号原因,而黑客仅位列第五。
1.内部人员无意泄密和恶意泄密
企业内部人员在上网时不小心中了病毒或木马,计算机中存储的重要资料由此流失的情况非常多。病毒和木马泛滥,使得企业泄密的风险越来越大。而个别不良员工明知是企业机密信息,还通过QQ、MSN、邮件、博客或者是其他网络形式把信息发到企业外部,这种有针对性的泄密行为导致的危害也相当严重。
2.内部人员离职带走复制资料泄密
这类情况发生概率最高。在离职的时候,有些研发人员会带走研发成果,有些销售人员会带走企业客户资料,甚至有些财务人员会把企业的核心财务信息复制带走。
3.内部文档权限失控失密
在单位内部,往往机密信息会分为秘密、机密和绝密等不同的涉密等级。一般来说,根据人员在单位中的地位和部门的不同,其所接触和知悉的信息也不同。然而,当前多数单位的涉密信息的权限划分是相当粗放的,导致不具备相应密级的人员获知了高密级信息。
4.存储设备丢失和维修失密
移动存储设备(例如笔记本电脑、移动硬盘、手机存储卡、数码照相/摄录机等)一旦遗失、维修或者报废,其存储的数据往往暴露无遗。随着移动存储设备的广泛使用,家庭办公兴起,出差人员的大量事务处理等都会不可避免地使用移动存储设备。因此,移动存储设备丢失和维修导致泄密也是当前泄密事件发生的主要原因之一。
5.对外信息发布失控失密
在两个或者多个合作单位之间,由于信息交互的频繁发生,涉密信息也可能泄露,导致合作方不具备权限的人员获得涉密信息,甚至是涉密信息流至处于竞争关系的第三方。因此,对于往外部发送的涉密信息必须加以管控,防止外发信息失控而导致失密。
6.外部竞争对手窃密
竞争对手采用收买方式,买通企业内部人员,让内部人员把重要信息发送竞争方,从而窃取机密的情况也非常多。这种方式直接损害了企业的核心资产,给企业带来致命的打击。
7.黑客和间谍窃密
许多黑客和间谍通过层出不穷的技术手段窃取各种重要信息,已经成为信息安全的巨大威胁。