【Java代码审计】敏感信息泄露篇
- 1.敏感信息泄露概述
- 2.TurboMail 5.2.0 敏感信息泄露
- 3.开发组件敏感信息泄露
1.敏感信息泄露概述
敏感信息是业务系统中对保密性要求较高的数据,通常包括系统敏感信息以及应用敏感信息
系统敏感信息指的是业务系统本身的基础环境信息,例如系统信息、中间件版本、代码信息,这些数据的泄露可能为攻击者提供更多的攻击途径与方法
应用敏感信息可被进一步划分为个人敏感信息和非个人敏感信息,个人敏感信息包括身份证、姓名、电话号码、邮箱等,非个人敏感信息则可能是企事业单位甚至国家层面的敏感信息。在实际场景中,经常发生因研发人员疏忽而导致的敏感信息泄露
2.TurboMail 5.2.0 敏感信息泄露
TurboMail邮件系统是某面向企事业单位通信需求而研发的电子邮件服务器系统。该系统的 5.2.0 版本没有进行充分的权限验证,使每个用户都可以通过访问接口获知“当前已经登录过的用户的邮箱地址”。由于在邮箱的登录页面没有设置验证码,如果用户的密码强度不够,攻击者可能进行爆破登录
漏洞的触发点在这里,代码在输出数据前没有进行权限验证,即任何人都可以发送请求:
通过浏览器访问地址&#x