红队评估项目中,第一次真实直观地感受到互联网上的敏感信息泄露是存在的(自己不切身体会,永远都觉得很虚幻。)以下总结一下搜索办法
谷歌语法
- 真有用例:本次项目搜索到的文档泄露泄露系统账号信息,包括员工邮箱账号密码,可直接登录,导致全公司邮箱泄露。
在线文档搜索
- 真有用
- 例:语雀平台同样泄露系统账号信息,可直接登录
Js文件搜索
- 真有用面对登录框,先F12一下,搜索一波password,万一有那不是直接减少时间成本。例:如图碰到的测试账户信息,可惜测试账户无效。
- 总结红队打不动摸鱼的时候,顺便摸摸信息泄露?
Comments NOTHING