源码泄露方式分类
.hg 源码泄露
漏洞成因:
hg init 的时候会生成 .hg
漏洞利用:
工具: https://github.com/kost/dvcs-ripper
.Git 源码泄露
漏洞成因:
在运行 Git init 初始化代码库的时候, 会在当前目录下产生一个. Git 的隐藏文件, 用来记录代码的变更记录等等. 在发布代码的时候, 如果该文件没有删除而是直接发布了, 那么使用这个文件, 就可以恢复源代码.
漏洞利用:
工具: https://github.com/lijiejie/GitHack
.DS_Store 文件泄露
漏洞成因:
在发布代码的时候未删除隐藏文件汇总的. DS_Store 文件, 然后攻击者获得了敏感文件等信息
漏洞利用:
工具: ds store exp https://github.com/lijiejie/ds_store_exp
网站备份压缩文件
在网站使用过程中, 往往需要对网站中的文件进行修改, 升级. 此时就需要对网站整体或一部分页面进行备份, 当备份文件或过程中的缓存文件因为某种原因而被留在了网站的目录中, 导致敏感信息泄露
漏洞检测:
对文件进行检查, 对约束代码进行代码审计
更多的泄露总结: https://www.secpulse.com/archives/55286.html
来源: http://www.bubuko.com/infodetail-3085768.html