(转载翻译)OWASP v5 4.1.5 查看网页评论和元数据来发现信息泄露

概要

对于程序员来说，在源代码中包含详细的注释和元数据是经常常见的甚至建议这样的。但是，HTML代码中包含的注释和元数据可能会被潜在的黑客发现一些内部的信息。所以要进行审查评论和元数据看看有没有数据泄露的情况。

测试目的

查看网页注释和元数据来更好的了解应用程序并查找任何的数据泄露。

如何测试

开发人员通常会使用HTML注释来包含有关应用程序的调试信息。有时，他们会忘记注释或者评论然后就投入开发当中。渗透测试人员可以查找””这样开头的注释。

黑盒测试

在HTML源代码中检查包含敏感信息的注释，这些注释可以帮助攻击者获得有关应用程序的更多信息。这些信息可以是SQL代码，用户名和密码，内部IP地址或调试信息。

渗透测试人员甚至可以找到类似的这些信息:

或者可以检查HTML版本信息来获取有效的版本号和数据类型定义(DTD)URL:

一些元标记不会提供敏感攻击信息，但是可以进行一下程序分析:

常见的元标记是可以刷新的:

Meta标签的常见用法是指搜索引擎可以用来提高搜索结果质量的关键字:

尽管大多数网络服务器都可以通过robots.txt文件管理搜索引擎发现，不过也可以通过META进行管理，下面的标签将建议机器人不要搜索并且不要跟随包含该标签的HTML页面上的链接:

Internet内容选择平台(PICS)和WEB描述资源协议(POWDER)提供了用于元数据与INTERNET内容相关联的基础结构。

转载:https://github.com/OWASP/wstg/blob/master/document/4-Web_Application_Security_Testing/01-Information_Gathering/05-Review_Webpage_Comments_and_Metadata_for_Information_Leakage.md