敏感情報の識別#
敏感情報の概念#
- 法律的観点:漏洩または不正使用されると、自然人の人格的尊厳が侵害されるか、身体や財産の安全が脅かされる個人情報
- より広い観点:利用可能なすべての情報は敏感情報と呼ばれる
敏感情報の分類#
企業の敏感情報#
異なる企業は敏感情報の定義が異なり、その危害の評価基準も異なる。
(1) 物流業界
注文情報は高危険度の基準として定義され、例えば順豊のコアビジネスは注文管理システムである。
(2) 賃貸・購入プラットフォーム
住宅設計図、賃貸契約は敏感情報とされる。
(3) 保険プラットフォーム
保険証券データおよび顧客データは敏感な内容に該当する。
など
脆弱性を掘り下げる際には、どの業界に属する企業か、どのようなタイプの企業の敏感情報が存在する可能性があるかに特に注意する必要がある。
ユーザーの敏感情報#
ユーザーの敏感情報には通常、氏名、電話番号、メールアドレス、身分証番号などが含まれる。(用語としては市民 N 要素とも呼ばれる)
一般的に、これらの情報が組み合わさって出現し、数が 10 件を超えると情報漏洩が構成される。
ユーザー情報の漏洩が一般的に見られる場所は、コミュニティ、ランキング、コメントなどである。簡単に言えば、他のユーザー情報を読み込むすべての場所には情報漏洩の可能性がある!
なぜか?それは、一部のインターフェースが返す内容はフロントエンドで隠されているだけで、データパケット内ではそのユーザーの他の個人情報が見えることがあり、データパラメータの暗号化処理が行われていないからである。
このような場合、通常のウェブサイト機能ページにアクセスすることで敏感情報を取得できる!
ユーザーの敏感情報漏洩は、クエリ系インターフェースの未承認アクセスでもよく見られる。
キーワード:info list getxxinfo getxxcomment
制御可能なパラメータ:id pageNo pageSize
サイトの敏感情報#
この種の情報漏洩は私個人の定義では伝統的な情報漏洩であり、サイトに存在する可能性のある敏感なファイルやディレクトリである。
一般的な敏感ファイルやディレクトリは以下の通り:
robots.txt
crossdomain.xml(クロスドメインポリシーファイル)
sitemap.xml
テストファイル
ウェブサイトバックアップファイル(.rar、zip、.7z、.tar、.gz、.bak)
DS_Store ファイルなど(CTF のソースコード漏洩の一種)
WEB-INF/web.xml ファイル
バックエンドディレクトリ
ウェブサイトインストールディレクトリ
ウェブサイトアップロードディレクトリ
mysql 管理ページ
phpinfo
ウェブサイトテキストエディタ
敏感ファイル、敏感ディレクトリの掘り起こしは一般的にツールやスクリプトを使用して行う。例えば、灯塔、BBscan など。
その他のオープンソースプラットフォームの敏感情報#
この種の情報漏洩は私が社交工学情報漏洩と定義するもので、企業が関連する第三者プラットフォーム上の情報に対して適切な情報保護を行っていないことから生じる。以下は一般的な漏洩ポイントのいくつか:
- 語雀公開知識庫
語雀は知識管理ツールであり、企業は敏感な文書を保存・共有するために使用する可能性がある。権限設定が不適切であったり、共有リンクが公開されている場合、敏感情報が漏洩する可能性がある。しかし、数回の改善を経て、ここで検索できる敏感情報は次第に少なくなっている。
キーワード:サーバー 123456 学号
-
クラウドストレージ検索
クラウドストレージ検索エンジンは、敏感情報を含むファイルやウェブサイトのソースコードなどをインデックスする可能性があり、この種の情報収集はほぼ神秘的である。 -
Github
Github はオープンソースコードホスティングプラットフォームであり、開発者は時々敏感情報(API キー、パスワードなど)を誤ってリポジトリにコミットすることがある。これらの情報は悪意のあるユーザーに利用され、安全リスクを引き起こす可能性がある。
後記#
この記事では、敏感情報に対する私の理解と情報漏洩の一般的な機能ポイントを共有しました。より高度な掘り下げ方法、例えば js インターフェースの利用や権限の越権確認などについては、今後の共有をお楽しみに!