除在错误消息中泄露有用的信息外,Web应用程序直接公布的信息也是它披露敏感数据的另一个主要源头。由于以下原因,应用程序可能会公布对攻击者有利的信息。
公布的信息在设计上属于应用程序核心功能的一部分。
公布的信息会无意中给其他功能造成负面影响。
由仍然存在于当前应用程序中的调试功能泄露信息。
由于某个漏洞(如访问控制不完善)而导致信息泄露。
应用程序可能向用户公布的敏感信息通常包括以下几项。
有效用户名、账号与文档 ID 列表。
用户个人资料,包括用户角色与权限、最后登录日期与账户状态。
用户当前使用的密码(该密码在屏幕上隐藏显示,但却出现在页面源代码中)。
包含在日志文件中的信息,如用户名、URL、执行的操作、会话令牌与数据库查询。
客户端HTML源代码中与应用程序有关的细节,如作为注释处理的链接或表单字段以及关于漏洞的注释。