1. 极度安全首页
  2. 网络安全技术

CTF之信息泄漏

CTF之信息泄漏-极度安全

web源码泄漏

.hg源码泄漏:

漏洞成因:hg init的时候会生成.hg,http://www.xx.com/.hg/,

工具:dvcs-ripper,(rip-hg.pl -v -u http://www.xx.com/.hg/)

.git源码泄漏:

漏洞成因:在运行git init初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等,没有删除这个文件,导致泄漏,http://www.xxx.com/.git/config

工具:GitHack,dvcs-ripper,(GitHack.py http://www.xxx.com/.git,rip-hg.pl -v -u http://www.xx.com/.git/)

.DS_Store源码泄漏:

漏洞成因:在发布代码时,没有删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息,http://www.xxx.com/.ds_store

工具:dsstoreexp,(python ds_store_exp.py http://www.xxx.com/.DS_Store)

网站备份压缩文件:

在网站的使用过程中,往往需要对网站中的文件进行修改,升级,此时就需要对网站整或其中某一页面进行备份,当备份文件或修改过程中的缓存文件因为各种原因被留在网站web目录下,而该目录又没有设置访问权限,就有可能导致备份文件被下载,导致信息泄漏,给服务器安全埋下隐患。.rar, .zip, .7z, .tar.gz, .bak, .swp, .txt, .html,

工具:可以使用一些扫描软件,进行扫描,如awvs之类的

像.swp文件,就是vim源文件泄漏,/.index.php.swp或/index.php~ 可以直接用vim -r inde.php来读取文件

SVN导致文件泄漏:

版本控制系统

工具:dvcs-ripper,Seay-Svn,(rip-svn.pl -v -u http://www.xxx.com/.svn/)

原创文章,作者: 极度安全 ,转载请注明出处:https://www.secvery.com/2725.html