实战案例(3)：OWASP Top 10 2021 失效的机密性 1-10

案例一：GitHub泄露源代码

小米VPN账号密码泄露证实可登录 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-076482

安全风险【已修复】：

1. GitHub代码（https://github.com/**/**/blob/**/PswHelper/src/com/example/pswhelper/GridActivity.java）泄漏邮箱帐号密码，登录邮箱后找到有道云笔记的帐号密码，登录有道云笔记后可翻找到VPN的帐号密码；
2. 邮箱可用于重置密码；
3. 邮箱可发送附件式钓鱼邮件进行鱼叉攻击，员工点击附件后攻击者就能获得员工电脑的控制权限。

安全建议：

1. 定期排查GitHub、GitLab等代码平台中与企业相关的代码，查找是否存在帐号密码（可登录）、后端代码（可审计0day漏洞）等敏感信息，并联系对应人员进行修复和删除。
2. 建议使用双因子登录，例如：短信验证码、动态令牌。对于无法使用双因子的应用，建议强制用户定期修改密码。

案例二：GitHub泄露源代码

民生电商某处信息泄露至大量员工信息泄露(一) https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-077513

安全风险【已修复】：

1. GitHub代码（https://github.com/**/**/blob/**/service/mail.js）泄漏邮箱帐号密码，登录邮箱后找到SVN的帐号密码；
2. 邮箱可用于重置密码；
3. 邮箱可发送附件式钓鱼邮件进行鱼叉攻击，员工点击附件后攻击者就能获得员工电脑的控制权限。

安全建议：

1. 同案例一。

案例三：网站备份文件泄漏源代码

畅捷通网站源码下载 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-066740

安全风险【已修复】：

1. 畅捷通某网站（http://**.**.**.**/Exam.rar）泄漏网站源代码。

安全建议：

1. web目录禁止存放网站源码等与业务无关内容。

案例四：网站备份文件泄漏源代码

中信某业务数据库配置信息泄露 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-076966

安全风险【已修复】：

1. 中信银行某网站（http://**.**.**.**/MallWeb.zip）泄露网站源代码，里面的配置文件（\WEB-INF\classes\conf\serverport.properties）泄露了帐号密码。

安全建议：

1. 同案例三。

案例五：社工库泄漏个人帐号密码

如家快捷酒店OA系统密码泄漏 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-059458

安全风险【已修复】：

1. 使用谷歌语法 “inurl:mail site:homeinns.com” 获得邮箱系统登录地址：mail.homeinns.com；
2. 使用社工库搜索 “@homeinns.com” 获得帐号密码：xj**@homeinns.com/22****3，但是成功登录邮箱后并未翻到有价值的信息，但是可以发送附件式钓鱼邮件进行鱼叉攻击，员工点击附件后攻击者就能获得员工电脑的控制权限；
3. 使用谷歌语法 “intitle:login site:homeinns.com” 获得OA登录地址：oa.homeinns.com，使用邮箱验证码进行密码重置，登陆后可查看通讯录，获取公司所有员工的个人信息。

安全建议：

1. 建议使用双因子登录，例如：短信验证码、动态令牌。对于无法使用双因子的应用，建议强制用户定期修改密码。

案例六：社工库泄漏个人帐号密码

58同城某站管理员密码泄漏（大数据） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-054654

安全风险【已修复】：

1. 使用谷歌语法 “site:58.com inurl:profile 管理员” 获得内部论坛网站 https://**.**.58.com/ 的管理员用户id：j****7；
2. 使用社工库搜索 “j****7” 获得帐号密码：j****7/19****13，可成功登录内部论坛获得管理员权限。

安全建议：

1. 同案例五。

案例七：社工库泄漏个人帐号密码

19楼内网漫游记 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-073687

安全风险【已修复】：

1. 在百度文库（http://doc.baidu.com/view/7826b53c580216fc700afdab.html）发现一份十九楼网络股份有限公司的《FOXMAIL使用教程》，判断文档上传者 eth****90 是19楼公司员工；
2. 使用社工库搜索 “eth****90” 获得帐号密码（**飞(eth****90) **xf-1983 1838**@qq.com）；
3. 使用帐号密码可以登录19楼公司的邮件系统（https://**.**.**/extmail/cgi/index.cgi）和社区论坛（http://**.**.**）；
4. 在邮件和论坛中搜索敏感信息，最终获得OA、DW、Love、Mantis、SNS、OMWIKI、redmine、Review Board、安全审核后台等多个系统的帐号密码并成功登录；
5. 继续搜索敏感信息，获得VPN的帐号密码并成功连上VPN进入内网。通过Structs2等漏洞等拿下shell权限，并提权到系统管理员，利用mimikatz成功获取到域控管理员的帐号密码，至此内网近百台计算机均已沦陷。

安全建议：

1. 同案例五。

案例八：百度文库泄漏帐号密码

中石化信息泄露可登录邮箱VPN（危机内部员工敏感信息） https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0125660

安全风险【已修复】：

1. 百度文库找到中石化的《**系统登录》文档，里面提到邮箱的默认密码和帐号一样。网上收集中石化的邮箱帐号，使用相同的帐号密码成功登录邮箱。进一步翻找联系人通讯录，可以登录大量员工的邮箱，包括公司领导、关键岗位员工。

安全建议：

1. 定期排查百度文库中与企业相关的文档，查找是否存在帐号密码（可登录）等敏感信息，并联系对应人员进行修复和删除。

案例九：百度文库泄漏帐号密码

某文库泄漏某省某系统sslvpn账号一枚 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0130298

安全风险【已修复】：

1. 百度文库泄漏《计划生育技术服务管理信息系统》文档（http://wenku.baidu.com/view/f16aed9adaef5ef7ba0d3ca7.html），里面提到VPN的默认帐号密码。

安全建议：

1. 同案例八。

案例十：百度文库泄漏帐号密码

利用百度文库可以快速渗透互联网企业 https://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2014-065523

安全风险【已修复】：

1. 在百度文库中搜索关键词 “用户 密码 http://oa”、“初始密码 http://oa”、“新员工入职 密码”，可以获取大量敏感信息；
2. 以某公司为例，可以获得金盾防火墙的帐号密码并成功登录。

安全建议：

1. 同案例八。