源码泄露

简单学习一下常见的源码泄露

.hg 源码泄露

漏洞成因:hg init的时候会生成.hg

.git 源码泄露

漏洞成因:在运行git init 初始化代码库的时候,会生成一个.git隐藏文件

.DS_Store文件泄露

泄露成因:在发布代码时未删除文件夹中隐藏.DS_Store,被发现后,获取了敏感的文件名等信息

路径检查工具:dsstoreexp

python ds_store_exp.py http://www.am0s.com/.DS_Store

网站备份压缩文件

备份文件的后缀:.rar .zip .7z .tar.gz .bak .swp .txt .html

SVN导致文件泄露

Subversion,简称SVN,是一个开放源代码的版本控制系统,相对于的RCS、CVS,采用了分支管理系统,它的设计目标就是取代CVS。互联网上越来越多的控制服务从CVS转移到Subversion。Subversion使用服务端—客户端的结构,当然服务端与客户端可以都运行在同一台服务器上。在服务端是存放着所有受控制数据的Subversion仓库,另一端是Subversion的客户端程序,管理着受控数据的一部分在本地的映射(称为“工作副本”)。在这两端之间,是通过各种仓库存取层(Repository Access,简称RA)的多条通道进行访问的。这些通道中,可以通过不同的网络协议,例如HTTP、SSH等,或本地文件的方式来对仓库进行操作。

WEB-INF/web.xml泄露

WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。

目录内容
/WEB-INF/web.xmlweb应用配置文件,描述了servlet和其他的应用组件配置及命名规则
/WEB-INF/classes/站点所有用的 class 文件,包括 servlet class 和非servlet class
/WEB-INF/lib/存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件
/WEB-INF/src/源码目录,按照包名结构放置各个java文件
/WEB-INF/database.properties数据库配置文件
web
最后修改于:2021年03月31日 21:14

添加新评论