3.1.5　敏感信息泄露漏洞

敏感信息泄露漏洞是由于代码开发、程序设计不当或后台配置疏漏，导致不应该被前端用户看到的数据信息被轻易访问到的安全缺陷。敏感信息泄露漏洞可能导致泄露的信息包括：后台目录及目录下文件列表，后台操作系统、应用部署包、中间件、开发语言的版本或其他信息，后台的登录地址、内网接口信息、数据库文件，甚至账户口令信息等。这些敏感信息一旦泄露，就有可能会被攻击者用来寻找更多的攻击途径和方法。蓝队主要利用敏感信息泄露漏洞实现以下目的：

·对敏感目录文件进行操作，读取后台服务器上的任意文件，从中搜集有价值的信息，为后续渗透积累条件；

·获取后台应用部署包、中间件或系统平台的敏感信息，进一步利用它们控制后台服务器；

·直接利用漏洞获取后台服务器认证数据库、账户口令等重要信息，直接用于仿冒接入。

敏感信息泄露漏洞多存在于各类Web平台、网络代理框架与网络业务应用。比如：VMware敏感信息泄露漏洞（CVE-2020-3952）是一个与目录服务相关的信息泄露漏洞，产生原因是VMware Directory Service（vmdir）组件在LDAP处理时检查失效和存在安全设计缺陷。攻击者可以利用该漏洞提取到目标系统的高度敏感信息，用于破坏vCenter Server或其他依赖vmdir进行身份验证的服务，并进一步实现对整个vSphere部署的远程接管（见图3-6）。又如：Jetty[1]WEB-INF敏感信息泄露漏洞（CVE-2021-28164）是由于对“.”字符编码规范配置不当造成在Servlet实现中可以通过%2e绕过安全限制导致的漏洞。攻击者可以利用该漏洞下载WEB-INF目录下的任意文件，包括一些重要的安全配置信息。

图3-6　VMware官方公布的CVE-2020-3952漏洞信息

[1] Jetty是一个基于Java的Web容器，为JSP和Servlet提供网络运行环境。