常见的Web源码泄露总结

常见的Web源码泄露总结

源码泄露方式分类

.hg源码泄露

漏洞成因:

  • hg init 的时候会生成 .hg

漏洞利用:

.git源码泄露

漏洞成因:

  • 在运行git init 初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,如果该文件没有删除而是直接发布了,那么使用这个文件,就可以恢复源代码。

漏洞利用:

.DS_Store文件泄露

漏洞成因:

  • 在发布代码的时候未删除隐藏文件汇总的.DS_Store文件,然后攻击者获得了敏感文件等信息

漏洞利用:

网站备份压缩文件

在网站使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整体或一部分页面进行备份,当备份文件或过程中的缓存文件因为某种原因而被留在了网站的目录中,导致敏感信息泄露

漏洞检测:

对文件进行检查,对约束代码进行代码审计

更多的泄露总结:https://www.secpulse.com/archives/55286.html

原文地址:https://www.cnblogs.com/wangyuyang1016/p/10989597.html

时间: 2024-11-09 23:46:44

常见的Web源码泄露总结的相关文章

CTF中常见Web源码泄露总结

.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等.在发布代码的时候,把.git这个目录没有删除,直接发布了.使用这个文件,可以用来恢复源代码. e.g. http

web源码泄露

http://www.am0s.com/ctf/175.html vim 文件泄露 1.备份文件 源文件:index.php 备份文件:index.php~ 2.临时文件 源文件:index.php 非正常关闭vim产生临时文件:index.php.swp

git文件致源码泄露

前言:在一道ctf题的驱动下,我进行了对git和.git文件致源文件泄露的学习. 一.任务 一道ctf题目. 二.确定题目考的点 谷歌关键词:版本管理工具 github ctf 由得到的结果猜测,可能考的点是.git文件导致源文件泄露. 三.对git的粗略学习 其实经常会用到git,例如在用hexo+github pages搭建博客的时候就用到了git,又如在linux下载一些工具的时候,用到的git clone. git:分布式版本控制系统. 首先,何为版本控制系统?以git的诞生故事来解释,

SVN源码泄露漏洞

SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范.“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息.但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构.”(可以利用.svn/entries文件,获取到服务器源码.svn服务器账号密码

由源码泄露引起的粗鄙审计低位变高危

  在挖掘漏洞的时候,发现某旗弈平台存在信息泄露emmm是这样吧~~ 看了一下主站是一个还可以的平台,因为漏洞还未修复就不截图主站了. 然后提交补天哥哥了,补天审核大大说要补充源码内容...所以我只能下载源码了. 下载源码后发现有两个目录.. 先打开public公共目录,如果没猜错这就是网站源码了,应该是直接打包的... 嗯,这个有点不错.貌似全打包了,东西还是挺多的.1个G emmmm看到后台了,myadmin打开网页看看,现在咱们就是白盒了啊~~~,看看提示. 看看index.php代码..

源码泄露到底是裁员报复,还是程序员反抗 996?

"后院"都要失守了,就先别馋大碗宽面了--B 站,你可长点儿心吧! "你的源代码泄露了,还搁这儿吃面?" 2019 年 4 月 22 日,B 站(bilibili 弹幕网)官方微博账号内一片风平浪静岁月静好,照常发着安利视频.蹭着吴亦凡的新歌热度,16:56 分的推送是一碗货真价实的"大碗宽面",但评论里的画风却是清一色的跑题--集体喊话 B 站,"回家看看吧,你家后院被点炮了"! 吃面路人一脸迷惑,啥?B 站到底咋了你们说清

关于源码泄露的应急响应

近来,国内互联网公司安全事件频发,有公司内部源码被发现托管在github上,从而引发安全隐患. 作为一家具备危机公关的公司,面对这样的事件,应该有自己的一套详尽的流程: 如:1.第一时间通知公司危机公关小组,品牌部.法务部等: 2.第一时间通知公司技术部门,如CTO办公室,技术管理办公室,研发中心,产品中心等 3.召开会议,分析前因后果,指定方案:

ctf中常见注入题源码及脚本分析

1.代码审计发现 这里没有用escape_string,因此存在注入. 1 function show($username){ 2 global $conn; 3 $sql = "select role from `user` where username ='".$username."'"; 4 $res = $conn ->query($sql); 5 if($res->num_rows>0){ 6 echo "$username i

atitit.商业版 源码保护 与 java本地原生代码转换 的方案总结

atitit.商业版 源码保护 与 java本地原生代码转换 的方案总结 1. 为什么虚拟机语言容易被反编译 1 2. 源码泄露的问题问题 1 3. Excelsior JET 1 4. gcj.的流程 2 5. classloader方案,,还凑后 2 6. 制作伪exe,其实和上一种做法是一样的,只不过做成exe,调用系统的java.exe来运行它,这样的工具有nativeJ,exe4j等 3 7. 其他 3 1. 为什么虚拟机语言容易被反编译 ,但虚拟机的中间语言由于带了大量的"元数据&q