可公开访问的凭证2023 年 6 月 1 日,Cybernews 研究小组发现了一个属于汉堡王法国网站的可公开访问的环境文件(.env),其中包含各种凭证,该文件托管在用于发布招聘信息的子域上。虽然泄露的数据本身不足以完全控制该网站,但它可以大大简化攻击者的潜在接管过程,特别是当他们还能够识别其他易受攻击的端点时。除其他敏感数据外,该文件还包含一个数据库的凭证。虽然由于法律原因,研究人员无法检查数据库中到底存储了什么内容,但其中很可能有求职者输入的职位信息和其他个人数据。数据库凭据的暴露是十分危险的,因为恶意行为者可以利用这些凭据连接到数据库,然后读取或修改其中存储的数据。如果威胁行为者能够发现并利用网站中的任意 PHP 代码执行漏洞,.env 中的凭据就可以更容易、更隐蔽地提取 MySQL 数据库。研究小组观察到的另一项敏感信息包括 Google Tag Manager ID。Google 标签管理器是一种用于优化更新网站或移动应用程序上的测量代码和相关代码片段(统称为标签)的工具。Google 标签管理器 ID 指定了网站应使用的标签管理器容器。攻击者一旦获取到这些凭据,并将其与网站上的其他漏洞点相结合,就有可能将标签 ID 更改为自己容器的 ID。然后他们就能在网站上执行任意的 JavaScript 代码。
破坏网站指标研究人员还发现了一个 Google Analytics ID,其专门用于确定哪些流量应被记录并发送到相关的 Google Analytics 账户。攻击者可以利用这些泄露的数据在自己控制的网站上设置 ID,然后那些自动生成的流量会使相关的 Google Analytics 账户不堪重负,从而在攻击期间对网站的性能分析造成严重破坏。来源:FreeBuf END 往期推荐