.git源码泄漏
漏洞成因:
在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。
e.g. http://www.example.com/.git/config
漏洞利用:
工具:
GitHack.py http://www.example.com/.git/
rip-git.pl -v -u http://www.example.com/.git/
.DS_Store文件泄漏
漏洞成因:
在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息。
漏洞利用:
http://www.example.com/.ds_store
注意路径检查
工具:
python ds_store_exp.py http://www.example.com/.DS_Store