常見的Web源碼泄露總結
源碼泄露方式分類
.hg源碼泄露
漏洞成因:
- hg init 的時候會生成 .hg
漏洞利用:
- 工具: dvcs-ripper
.git源碼泄露
漏洞成因:
- 在運行git init 初始化代碼庫的時候,會在當前目錄下產生一個.git的隱藏文件,用來記錄代碼的變更記錄等等。在發布代碼的時候,如果該文件沒有刪除而是直接發布了,那么使用這個文件,就可以恢復源代碼。
漏洞利用:
- 工具:GitHack
.DS_Store文件泄露
漏洞成因:
- 在發布代碼的時候未刪除隱藏文件匯總的.DS_Store文件,然后攻擊者獲得了敏感文件等信息
漏洞利用:
- 工具:ds store exp
網站備份壓縮文件
在網站使用過程中,往往需要對網站中的文件進行修改、升級。此時就需要對網站整體或一部分頁面進行備份,當備份文件或過程中的緩存文件因為某種原因而被留在了網站的目錄中,導致敏感信息泄露
漏洞檢測:
對文件進行檢查,對約束代碼進行代碼審計