21.13 检查信息泄露

(1)在探查目标应用程序的整个过程中,监控它的响应,查找可能包含与错误原因、所使用技术以及应用程序的内部结构与功能有关的错误消息。

(2)如果收到不常见的错误消息,使用标准的搜索引擎检查这些消息。可以使用各种高级搜索特性缩小搜索范围。例如:

img648b

(3)检查搜索结果,寻找关于错误消息的所有讨论以及其他出现相同消息的所有站点。其他 应用程序生成的同一条错误消息可能更详细,有助于渗透测试员更好地了解错误条件。使用搜索引擎缓存获取不再出现在当前应用程序中的错误消息。

(4)使用Google代码搜索查找生成特定错误消息的、公开发布的所有代码。搜索可能被硬编码到应用程序源代码中的错误消息代码段。还可以使用各种高级搜索特性指定代码语言及其他已知的细节。例如:

img649

(5)如果获得包含库与第三方代码组件名称的栈追踪错误消息,在上述两种搜索引擎中搜索这些名称。