Aller au contenu

Divulgation d'informations

La divulgation d'informations (information disclosure) désigne le fait, pour un site, de dévoiler involontairement des informations sensibles à ses utilisateurs. Ces informations — code source, identifiants, chemins internes, données techniques — n'ont pas de valeur d'attaque en elles-mêmes, mais elles alimentent et facilitent d'autres attaques en révélant la structure et le fonctionnement interne de l'application.

Sources à explorer

Plusieurs réflexes permettent de collecter ces informations :

  • /robots.txt et /sitemap.xml. Destinés aux robots d'indexation, ces fichiers listent souvent les répertoires à éviter — donc potentiellement sensibles. Rarement liés depuis le site, ils échappent au robot d'exploration de Burp : il vaut la peine de les tester manuellement à chaque fois.
  • Messages d'erreur. Manipuler les paramètres (par exemple productID="test" au lieu d'un entier) pour provoquer une erreur serveur qui révèle des détails internes.
  • Commentaires et contenu caché. Dans l'onglet Target de Burp, Engagement tools → Find comments met au jour des indices laissés dans le code ; Discover Content recherche des répertoires cachés.
  • Méthode TRACE. Elle renvoie la requête telle quelle, ce qui peut exposer des informations comme une adresse IP. Si une page est restreinte par IP, on peut alors tenter de la contourner en forgeant l'IP attendue (via Match and replace dans l'onglet Proxy de Burp).

Divulgation via l'historique de versions

Quand un système de gestion de versions est exposé (à une adresse comme /.git), il peut révéler des secrets supprimés des versions actuelles mais conservés dans l'historique. La démarche, plus simple sous un environnement UNIX :

wget -r https://site-vulnerable.example/.git

puis exploration de l'historique avec un client Git pour repérer d'éventuels secrets dans les anciennes versions.

Aide-mémoire

Source Ce qu'on y cherche
/robots.txt, /sitemap.xml Répertoires sensibles non liés
Messages d'erreur Détails internes via paramètres invalides
Commentaires HTML/JS Indices laissés dans le code
Méthode TRACE Informations réfléchies (IP, en-têtes)
/.git exposé Secrets dans l'historique de versions

Ces informations sont rarement une fin en soi : leur intérêt est de préparer une attaque plus sérieuse en révélant la surface et les rouages de l'application.