【漏洞挖掘】——57、备份文件泄露检测利用

已于 2024-06-07 16:03:50 修改
阅读量745 收藏
点赞数
分类专栏: 【WEB渗透】 文章标签: 渗透测试 信息安全 网络安全 web渗透
于 2023-10-20 17:42:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fly_hps/article/details/133951330
版权
本文探讨了Web服务器中备份文件(如.bak)可能导致的数据泄露和安全风险。漏洞利用可能暴露网站源代码,包含敏感信息如账号、密码。通过CTF题目演示了如何检测备份文件泄露,并提出了防火墙、安全实践、权限限制、定期审查和安全存储等防御措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

基本介绍

网站管理员有时候为了方便会在修改某个文件的时候先复制一份并将其命名为xxx.bak,而大部分Web Server对bak文件并不做任何处理,导致可以直接下载,从而获取到网站某个文件的源代码,导致数据泄露和安全风险

漏洞危害

敏感信息:网站源代码中可能包含硬编码的账号、密码、网站真实IP地址、路由等敏感信息

代码审计:网站源代码可以作为代码审计的材料,通过对网站源代码进行审计查找相关的脆弱点进行0day漏洞利用

漏洞检测

下面以CTFHUB中的一道CTF题目为例进行演示,在演示过程中我们可以借助GIthub上的备份文件扫描项目来实现全量的备份文件扫描检测

Step 1:访问题目地址会看到提示"Flag in index.php source code.",所以说我们得获取到index.php的源代码文件

​​​​​​CTFHub 环境实例 | 提示信息

St

了解本专栏 订阅专栏 解锁全文
web渗透--49--常见的数据信息泄露
武天旭的博客
09-22 5515
一、备份文件泄漏 1.1、漏洞描述: 备份文件泄露,在web服务中,常常不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑,为展开其他类型的攻击提供有利信息,降低攻击的难度,可以进一步获取其他敏感数据。
漏洞挖掘】——61、SWP文件泄露漏洞检测利用
Fly_鹏程万里
10-20 832
SWP文件泄露漏洞是指在使用Vim编辑器编辑一个文件时,Vim会在同一目录下创建一个以".swp"结尾的临时文件来保存编辑过程中的变化,如果在编辑过程中Vim进程被意外终止或者用户没有正确地退出Vim,那么这个临时文件可能会被留下来,如果攻击者能够访问这个临时文件就可以获得原始文件的敏感信息,从而导致信息泄露,需要注意的是不同的操作失败次数将会导致产生不同后缀的交互文件,例如:index.php第一次产生的交换文件名为.index.php.swp,再次意外退出后将会产生名为.index.php.swo的交换
漏洞扫描CTF基础知识、WEP phpinfo备份文件下载
Hefengboy的博客
04-29 328
CTF基础知识 ctf基本简介 1.打开题目后 2.点击进入“题目附件”,寻找flag,在文章末尾 竞赛模式 1.打开题目 2、点击进入“题目附件”,寻找flag,在文档后部分 比赛形式 1.打开题目 2、点击进入“题目附件”,寻找flag,在文档结尾处 题目类型 1、打开题目 2、点击进入“题目附件”,寻找flag,在文档末尾 Web信息泄露 目录遍历 1.打开题目 2. PHPINFO 1.打开题目 2、点击查看phpinfo 3、在表格中寻找flag,一般带有“flag”标识的,在蓝色
玩儿转网站备份泄漏漏洞
最新发布
Innocence_0的博客
03-27 784
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
备份文件泄露
fansenliangren的博客
11-23 1309
应用在开发测试及运行过程中,应用中会遗留过时文件(bak文件、rar打包的源码等)、运维文件(log文件等)、备份源码(如SVN、git等)、渗透测试遗留文件(测试webshell等)、开发文件等敏感信息,可通过浏览器直接访问下载。
浅谈“备份文件泄漏”
→_→
07-11 2159
一:漏洞名称: 备份文件泄漏 描述: 备份文件泄露,在web服务中,尝尝不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑, 为展开其他类型的攻击提供 有利信息,降低攻击的难度,可以进一步获取其他敏感数据。简单的来说: 网站备份文件泄露指管理员误将网站备份文件或是敏感信息文件存放在某个网站目录下。 外部黑客可通过暴力破解文件名等方法下载该备份文件,导
web渗透测试----21、网站备份文件泄露
七天
04-22 2660
网站备份文件泄漏
Dedecms备份文件泄露
无心的博客
11-13 2326
今天看到一篇比较骚的思路,是织梦cms的,不过按道理来说并不应该是织梦背锅,具体原因会在后面有提到。 这里先声明一下,文章原稿是在tools的,我是从其他地方转载过来的。 详情 1.首先我们来看下 织梦备份数据的方式 居然txt保存 首先这个文件 生成方式 大家自己去看代码 应该是不可能暴力猜得到的 2.他的账户密码储存在这里 dede_admin_ 你会懵逼 我到底想说啥 3.开始重...
漏洞挖掘】——54、 网站源码泄露检测利用
Fly_鹏程万里
10-20 1302
如果开发人员在线上环境中对源代码进行了备份操作并且将备份文件放在了WEB目录下,就会引起网站源码泄露备份文件中可能包含敏感信息,比如:用户数据、登录凭证、配置文件等,如果备份文件泄露,那么攻击者可以利用其中的敏感信息进行恶意攻击,破坏网站的安全性和可靠性。
漏洞挖掘】——59、Git信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1512
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等,发布代码的时候如果没有把.git这个目录删除直接发布到服务器上攻击者就可以通过它来恢复源代码。
漏洞挖掘】——60、SVN信息泄露漏洞检测利用
Fly_鹏程万里
10-20 1959
SVN是一个开放源代码的版本控制系统,在使用SVN管理本地代码过程中会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息,网站管理员在发布代码时如果没有使用导出功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件获取到服务器源码。
网站备份扫描工具 简单方便 漏洞检测
12-13
网站备份扫描工具 输入关键词就可以扫描各类网站备份
网站备份文件扫描
04-09
网站备份文件扫描 改成cgi1.lst即可扫描目录 网站备份文件扫描 改成cgi1.lst即可扫描目录
wwwscan--网站备份文件扫描
11-23
网站备份文件扫描,支持批量扫描多个站点下是否存在备份数据,同时也支持扫描网站目录
Test404网站备份文件扫描器 v2.0(网站备份文件扫描工具)
03-05
Test404网站备份文件扫描器 v2.0(网站备份文件扫描工具) Test404网站备份文件扫描器,用于可下载的网站包括backup db data web wwwroot database www code test admin user a 1 bbs 123 data bak oa admin wwww 2014 2015 2016 2014 2015 2016 2017 2018 2019 2020 1 2 2 123 a back backup bak bbs bbs beifen beian data db flashfxp fdsa ftp localhost gg hdocs hdocs HYTop.mdb root? Release Rel
信息泄露(目录遍历,phpinfo,备份文件下载)_phpinfo信息泄露漏洞(1)
2401_84972844的博客
05-14 1145
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
怎么对公司电脑的文件进行备份?防止文件丢失泄露
iMonitorSoft的博客
07-15 887
公司的文档资料安全是非常重要的一部分,尤其是对于开发的部门来说,如果电脑突然发生了故障,造成电脑上文件丢失,而做好的项目还没有来得及备份,那就只能重新来过;还有文件更新后,发现问题想要退回到之前的文档,然而文档已经被覆盖,或者删除掉。所以,需要对电脑上的文件进行实时的备份,备份到服务器上。数据备份首先要确保员工电脑的数据可以自动上传到服务器电脑上,那么怎样才能实现实时备份呢? 电脑监控软件iMonitor EAM 可以实现上述所说的功能,iMonitor EAM软件分为三个部分,服务器程序,管理端程序
ctfhub 信息泄露-备份文件下载
菜鸟的博客
06-01 431
01 网站源码 打开网站
网站漏洞检测工具——SQL注入检测源码
网站漏洞检测网络安全的一个重要组成部分,有助于及时发现和修复可能导致安全威胁的弱点,从而保护网站数据和用户隐私不被泄露或滥用。 知识点二:SQL注入漏洞的定义和影响 SQL注入漏洞是一种常见的网络攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值