SENSİTİVE DATA EXPOSURE
Sensitive Data Exposure , Türkçe anlamı ile kritik verilerin güvensizliği olarak kayıt altına alınır. Bunu en başta söyleyeyim bu bir veri ihlalidir. Bu zaafiyete örnek olarak şunu verebilirim. Düşünün bir web siteniz var. O sitenin database ile alakalı bir config dosyası var ve bu .php uzantılı adı da “config.php” ve siz bunu config.txt olarak tekrar sunucuya koyuyorsunuz ve sizin sitenize dair en kritik bilgi saldırganın eline kısa bir sürede geçmiş bulunmakta. Yada masaüstünüzdeki şifreler ve emaillerinizin olduğu dosyanın gözükmesi bile bu açığa dahil olablir. O yüzden şifreleri ezberlemekte fayda var.Sömürme
Bu zaafiyeti şu şekilde saldırarak sömürebiliriz fuzzing testleri ile veya sayfa kaynak kodunu okuyarak sömürebiliriz. Birde bazen şöylede olabiliyor veri karşınıza hashli bir şekilde çıkıyor fakat o hash puff olup gidiyor ve yine veriler saldırganın eline geçiyor.Korunma Yöntemi
config dosyalarını veya şifrelerin bulunduğu dosyayı sadece yönetici izni verip koruyabilirsiniz ama yinede şifrelerinizin sunucuda barınmasını tavsiye etmem.
Mesela bu resimde en altta webapp.db adlı bir dosya var bu dosya indiği anda database puff oldu çünkü saldırganın eline geçti. Bu tarz dosyaları eğer sunucumda barındırcam diyorsanız dediğim gibi ya yetkilendirin yada sitenizin bulunduğu dizinlerde olmasın yada HİÇ OLMASIN .
