资产泄漏(网站)

最新推荐文章于 2024-06-11 15:45:31 发布
最新推荐文章于 2024-06-11 15:45:31 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: # 信息打点 文章标签: 安全 架构 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/honest_run/article/details/126271318
版权

知识点:

1、 CMS指纹识别源码获取方式

2、 习惯&配置&特性等获取方式

3、托管资产平台资源搜索监控

详细点:

        参考:https://www.secpulse.com/archives/124398.html

源码泄漏原因:

        1、从源码本身的特性入口

        2、从管理员不好的习惯入口

        3、从管理员不好的配置入口

        4、从管理员不好的意识入口

        5、从管理员资源信息搜集入口

源码泄漏集合:

        composer.json

        git源码泄露

        svn源码泄露

        hg源码泄漏

        网站备份压缩文件

        WEB-INF/web.xml 泄露

        DS_Store 文件泄露

        SWP 文件泄露

        CVS泄露

        Bzr泄露

        GitHub源码泄漏

演示案例:

  • 直接获取-CMS识别-云悉指纹识别平台
  • 习惯不好-备份文件-某黑阔博客源码泄漏
  • 配置不当-GIT泄漏-某程序员博客源码泄漏
    • 实验网址http://121.36.49.234/
    • 测试方式:http://121.36.49.234/.git/ —— 查看返回包的状态码,403表示该文件夹存在

    • 可使用工具:GitHack

      使用命令格式:

      python.exe GitHack.py http://121.36.49.234/.git/

      python环境:2.7.6

  • 配置不当-SVN泄漏-某国外小伙子源码泄漏
    • 实验网址:https://trafficbonus.com/
    • 测试方式:https://trafficbonus.com/svn/entries —— 查看返回结果,判断/svn/entries文件是否是存在的

    • 可使用工具:

      SvnHack-master

      使用命令:

      python.exe SvnHack.py -u https://trafficbonus.com/svn/entries --download

      python环境:2.7.6

  • 配置不当-DS_Store泄漏-某开发Mac源码泄漏
    • 实验网址:http://zhuchao.yslts.com/
    • 测试方式:https://zhuchao.yslts.com/.DS_Store —— 查看返回结果,判断/.DS_Store文件是否是存在的

    • 可使用工具:

      ds_store_exp

      使用命令:

      python.exe ds_store_exp.py https://zhuchao.yslts.com/.DS_Store

      python环境:2.7.6

      !!!未成功!!!

  • PHP特性-composer.json泄漏-某直接搭建源码泄漏、】
    • composer.json文件是一个配置文件(说明型文件) —— 通过该文件信息搜集情报
    • 实验网址:http://www.cmdesign.com.cn/
    • 测试方式:http://www.cmdesign.com.cn/composer.json —— 查看返回结果,判断/.DS_Store文件是否是存在的

    • 返回结果:

  • 下载配合-WEB-INF泄露-RoarCTF-2019-EasyJava

—— 前提是必须要有下载漏洞,没有漏洞没大用,CTF中可能会考到

  • WEB-INF是JavaWEB应用的安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。
  • WEB-INF 主要包含一下文件或目录
    • WEB-INF/web.xml : Web应用程序配置文件, 描述了servlet和其他的应用组件配置及命名规则.
    • WEB-INF/database.properties : 数据库配置文件
    • WEB-INF/classes/ : 一般用来存放Java类文件(.class)
    • WEB-INF/lib/ : 用来存放打包好的库(.jar)
    • WEB-INF/src/ : 用来放源代码(.asp和.php等)
  • 资源监控-GITHUB泄漏-语法搜索&关键字搜索&社工

 

更多参考:

        文章:常见的Web源码泄漏漏洞及其利用

        常见的Web源码泄漏漏洞及其利用 - SecPulse.COM | 安全脉搏

CMS识别:https://www.yunsee.cn/

备份:敏感目录文件扫描-7kbscan-WebPathBrute

CVS:https://github.com/kost/dvcs-ripper

GIT:https://github.com/lijiejie/GitHack

SVN:https://github.com/callmefeifei/SvnHack

DS_Store:https://github.com/lijiejie/ds_store_exp

使用项目时记得看当前项目安装说明哦

        1、先安装python2或python3版本

        2、利用python安装目录下的pip进行库安装

        3、没设置环境变量的利用完整路径的python去执行脚本

GITHUB资源搜索:

in:name test

仓库标题搜索含有关键字

in:descripton test

仓库描述搜索含有关键字

in:readme test

Readme文件搜素含有关键字

stars:>3000 test

stars数量大于3000的搜索关键字

stars:1000..3000 test

stars数量大于1000小于3000的搜索关键字 forks:>1000 test           #forks数量大于1000的搜索关键字

forks:1000..3000 test

forks数量大于1000小于3000的搜索关键字 size:>=5000 test           #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test    #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test   #创建时间大于2019-02-12的搜索关键字 user:test                  #用户名搜素

license:apache-2.0 test

明确仓库的 LICENSE 搜索关键字 language:java test         #在java语言的代码中搜索关键字

user:test in:name test

组合搜索,用户名test的标题含有test的

关键字配合谷歌搜索:

        site : XX —— 和XX搜索相关的

        site : Github.com smtp  

        site : Github.com smtp @qq.com  

        site : Github.com smtp @126.com  

        site : Github.com smtp @163.com  

        site : Github.com smtp @sina.com.cn

        site : Github.com smtp password

        site : Github.com String password smtp

 

xjizhi(GG安全)
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现xray——.Ds_Store文件泄露漏洞
记录并分享学习安全的知识点..
01-12 6706
一、.DS_Store文件介绍 .DS_Store是Mac OS保存文件夹的自定义属性的隐藏文件,如文件的图标位置或背景色,相当于Windows的desktop.ini。尽管这些文件本来是为Finder所使用,但它们被设想作为一种更通用的有关显示设置的元数据存储,诸如图标位置和视图设置。 例如,在Mac OS X 10.4 "Tiger"中.DS_Store包含了一文件夹的所有文件的Spotlight注释。然而,在Mac OS X 10.5 "Leopard"中这种方式又被更改了,注释(现称为关键字)被改
DS_Store文件泄漏总结
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.csdn.net/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
CTF介绍
ST0new的博客
05-16 9614
前言 刚开始接触CTF,对于misc,reverse等等都傻傻分不清,所以专门去查了下这些名词,给没有接触CTF的童鞋一点入门基础。如果有不对的地方,欢迎大佬指点。 CTF是什么 CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。 CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进...
【Git与DS_store信息泄露
My笔记的博客
04-30 740
打开官网,根据需求下载对应文件,下载后打开安装直接点Next即可GitHack的下载利用Git泄露的脚本不止你这一个,这里以这个为例,其他脚本使用教材大同小异下载地址。
信息泄露漏洞记录
baidu_38844729的博客
12-03 459
svn源代码泄露 漏洞成因:SVN是源代码版本管理软件,开发人员在服务器上布署代码时,如果使用 svn checkout 功能来更新代码,而没有配置好目录访问权限,则会存在此漏洞 检测工具:https://github.com/admintony/svnExploit 漏洞危害:攻击者可以下载网站源代码,从wc.db获取敏感信息 漏洞修复: 删除/.svn 文件夹 禁止访问 /.svn 目录 git信息泄露 漏洞成因:开发人员使用git进行版本控制,对站点自动部署。如果将.git文件夹直接部署到线上环
ds_store_exp:.DS_Store文件泄露漏洞。 它解析.DS_Store文件并递归下载文件
05-09
ds_store_exp A .DS_Store file disclosure exploit. It parses .DS_Store file and downloads files recursively. 这是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。 Usage: python ds_store_exp.py http://www.example.com/.DS_Store Install pip install -r requirements.txt Example ds_store_exp.py http://hd.zj.qq.com/themes/galaxyw/.DS_Store hd.zj.qq.com/ └── themes └── galaxyw ├── app │  
个人资产管理系统
02-01
在数据安全方面,系统可能采用了加密技术,保护用户的隐私信息不被泄露。 总结来说,个人资产管理系统是一个集成了Java编程、MySQL数据库和Eclipse开发环境的综合项目。通过这个系统,用户可以方便地记录、查询和...
固定资产盘点系统的源代码
02-16
这样的设计使得不同角色的用户只能访问和操作与其权限相符的功能,有效防止了信息泄露和误操作。 三、固定资产购置 固定资产购置流程涉及采购申请、审批、入库等环节。源代码中,这一部分会包含采购订单管理、审批...
2022数据资产泄露分析报告.pdf
07-02
2022数据资产泄露分析报告.pdf
数据资产管理实践 版简略版
06-09
6. 数据安全管理:确保数据在收集、存储、处理和传输过程中的安全,防止数据泄露、篡改和丢失。这包括设置访问控制、加密、备份和恢复策略,以及符合法规要求的数据保护措施。 7. 数据价值管理:通过挖掘和分析数据...
数据资产管理解决方案.pdf
11-25
数据安全管理,保护数据免受非法访问和泄露;数据价值管理,挖掘数据的潜在价值;以及数据共享管理,促进数据在组织内外的有效流通。 保障数据资产管理实施的措施同样重要,包括制定长远的战略规划,明确数据管理的...
DS_Store 文件泄露
07-11
DS_Store 文件泄露 是一个 .DS_Store 文件泄漏利用脚本,它解析.DS_Store文件并递归地下载文件到本地。 .DS_Store是Mac下Finder用来保存如何展示文件/文件夹 的数据文件(即文件夹的显示属性的,和比文件图标的摆放位置),每个文件夹下对应一个 把代码上传的时候,安全正确的操作应该把 .DS_Store 文件删除,如果未删除,.DS_Store将会上传部署到服务器,可能造成文件泄漏(目录结构、备份文件、源代码文件)
.DS_Store文件泄露和工具使用
weixin_50464560的博客
08-25 5064
简介 最近使用扫描器xray对相关网站进行漏洞扫描的时候,扫描结果中显示有一条.DS_Store文件泄露。但是之前没有去了解过,在此记录一下该漏洞的检测方法。 .DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。 如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。 漏洞检测 1.漏洞检测工具: https://github.com/lijiejie/ds_store_exp 2.工具使用方法:
web安全之信息打点
weixin_52741673的博客
07-12 556
web安全之信息收集
【Web】ctfhub基础知识之信息泄露(DS_Store后)
A_Gaming的博客
12-14 513
ctfhub web方向 基础知识之信息泄露
信息泄露-小白初识
small_whitehat的博客
02-21 1222
网站敏感信息源码泄露
【漏洞挖掘】——67、DS_Store文件泄露
最新发布
Fly_鹏程万里
06-11 126
DS_Store是MAC电脑系统中的隐藏文件,用于存储文件夹的自定义属性和元数据,如果DS_Store文件被泄露,黑客可以轻易地获取到文件夹的元数据和属性信息,例如:文件名、文件夹布局、文件夹大小等。
常见的Web源码泄漏漏洞及其利用
热门推荐
02-28 2万+
Web源码泄露的漏洞:git源码泄露svn源码泄露hg源码泄漏网站备份压缩文件WEB-INF/web.xml泄露DS_Store 文件泄露SWP 文件泄露CVS泄露Bzr泄露GitHu...
DS_Store在文件夹下自动生成的文件,怎么解决?
zjj778899的博客
06-08 3565
如果你使用的是Mac电脑,在压缩文件或者开发中提交代码时,经常会将文件夹下面的 .DS_Store 文件一同混入你的文件,在Windows下,你的同事就会发现这个看起来像垃圾的 .DS_Store 文件,令人十分头疼。什么是 .DS_Store 文件呢?简单地说,.DS_Store 是macOS在文件夹下自动生成的一个文件,该文件记录保存该文件夹的一些属性,比如文件夹的排序方式、图标大小等,这个可以在文件夹的显示选项功能可以看到,如下图:这个文件在macOS下是隐藏的,但是在Windows下一来此文件没有意
h5固定资产开源代码
12-08
h5固定资产开源代码是指在h5开发过程中,使用开源代码来实现固定资产管理功能。固定资产管理是企业中非常重要的一项工作,可以帮助企业有效控制资产、提高资产的利用率和管理效率。在h5开发中使用开源代码,可以节省开发时间和成本,并且能够快速实现固定资产管理功能。 在选择h5固定资产开源代码时,需要考虑以下几个因素: 1. 功能完善:选择功能完善的开源代码,能够满足企业固定资产管理的各种需求,包括资产信息的录入、查询、修改和删除、资产报废和报废审核、资产折旧计算等功能。 2. 扩展性强:代码应该具有良好的扩展性,可以根据企业的具体需求进行二次开发和定制,满足企业特定的管理要求。 3. 界面友好:开源代码的界面应该美观、易用,方便用户进行操作和管理资产。 4. 安全性高:固定资产管理涉及到企业重要的资产信息,所以代码需要具有较高的安全性,能够有效保护企业的资产信息不被泄漏或遭到恶意攻击。 5. 文档和社区支持:选择有良好文档和社区支持的开源代码,可以提供及时的技术支持和问题解答。 总之,选择适合的h5固定资产开源代码,可以帮助企业快速实现固定资产的管理,提高资产利用率和管理效率,从而为企业的发展创造更多的价值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值