常见的Web源码泄露总结
源码泄露方式分类
.hg源码泄露
漏洞成因:
- hg init 的时候会生成 .hg
漏洞利用:
- 工具: dvcs-ripper
.git源码泄露
漏洞成因:
- 在运行git init 初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,如果该文件没有删除而是直接发布了,那么使用这个文件,就可以恢复源代码。
漏洞利用:
- 工具:GitHack
.DS_Store文件泄露
漏洞成因:
- 在发布代码的时候未删除隐藏文件汇总的.DS_Store文件,然后攻击者获得了敏感文件等信息
漏洞利用:
- 工具:ds store exp
网站备份压缩文件
在网站使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整体或一部分页面进行备份,当备份文件或过程中的缓存文件因为某种原因而被留在了网站的目录中,导致敏感信息泄露
漏洞检测:
对文件进行检查,对约束代码进行代码审计