版本控制漏洞
.git 用来记录代码的变更记录等
.svn SVN是一个开放源代码的版本控制系统 ,在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息
.hg 是一种轻量级分布式版本控制系统,使用 `hg init`的时候会生成.hg。
CVS CVS是一个C/S系统,多个开发人员通过一个中心版本控制系统来记录文件版本,从而达到保证文件同步的目的。
.bzr
压缩文件 管理员将网站源代码备份在Web目录下,攻击者通过猜解文件路径,下载备份文件,导致源代码泄露。用御剑扫。
- .rar
- .zip
- .7z
- .tar.gz
- .bak
- .txt
- .old
- .temp
**WEB-INF/web.xml 泄露**`WEB-INF`是Java的WEB应用的安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。
**DS_Store 文件泄露**.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。如果将.DS_Store上传部署到服务器,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。
.filename.swp。swp即swap文件,在编辑文件时产生的临时文件,它是隐藏文件,如果程序正常退出,临时文件自动删除,如果意外退出就会保留,文件名为 .filename.swp
vim是linux自带且常用的文件编辑器,vim在编辑时会生成一个隐藏的临时文件,当vim非正常关闭时这个文件就会被保留下来。 使用vim时意外退出,会在目录下生成一个备份文件,格式为 .文件名.swp,访问/index.php.swp下载备份文件,用记事本打开即可
## 域名txt记录泄露 http://www.jsons.cn/nslookup/输入域名
/tz.php 探针泄露 **PHP探针**实际上是一种Web脚本程序,主要是用来探测虚拟空间、服务器的运行状况,而本质上是通过[PHP语言](https://so.csdn.net/so/search?q=PHP语言&spm=1001.2101.3001.7020)实现探测PHP服务器敏感信息的脚本文件,通常用于探测网站目录、服务器操作系统、PHP版本、数据库版本、CPU、内存、组件支持等,基本能够很全面的了解服务器的各项信息。`phpinfo()` 是 PHP 中的一个函数,用于显示 PHP 运行环境的配置信息。该函数可以显示 PHP 的版本信息、编译器信息、模块信息、配置信息等,可以帮助开发者了解 PHP 的运行环境和配置信息。
访问网站:尝试index.phps或index.php再在index.php中进行操作