信息泄露漏洞_管理后台暴露漏洞

信息泄露主要包括：敏感路径、服务器、中间件、框架版本等

实验环境：ubuntu

实验原理：

   配置存放不当，导致web系统备份，数据库备份
   用户数据文件，暴露在web系统上，引发信息泄露

实验内容：

一、目录遍历漏洞

原理：index文件是web应用程序的默认入口文件被称为索引文件。访问web应用程序时如果没有
指定某个文件，web应用程序就会调用索引文件。根据web开发脚本语言的不同，索引文件
往往也不同，常见的有index.html、cindex.php、index.jsp、 index.asp等。

危害： 泄露网站后台路径

            泄露网站敏感的文件信息

            泄露网站的编辑器路径

            泄露网站的测试接口等

用法：可在goole Hacking或bing中输入intitle:"index of"寻找

二、管理后台对外漏洞

web系统后台管理界面对外网开放

危害：

      1.暴力破解：如WEB系统后台无验证码或有缺陷的验证代码，攻击者可通过密码“字典” 来对管理员账户进行暴力破解，如果管理员密码复杂度较低，就存在密码被破解的风险。

      2.撞库：攻击者通过收集第三方泄露的用户账号信息和密码，来进