适合小白的网络安全学习笔记——第三课（信息泄露）

信息泄露

robot

robot.txt是一个网站文件，用于告诉网络爬虫（也称为spiders、bots或crawlers）哪些网页可以被爬取，哪些不可以。会泄露不给访问的地方

phps

phps文件就是php的源代码文件，是 PHP 源代码的文本表示形式，如果不正确配置，可能会被用户访问，从而泄露源码。

它的MIME类型为：text/html, application/x-httpd-php-source, application/x-httpd-php3-source。

. PHP 源码泄露 (.phps 文件)

目录遍历

给不合适的权力给用户遍历

开发者评论

F12忘记删的标记

公开信息泄露

公开的邮箱可以查到泄露的信息（例如地址），结合扫描工具有后台登录的话可以通过“忘记密码”等方式查到密码

或者说网页某串数字可能就是博主的常用密码

探针泄露(tz.php)

PHP探针实际上是一种Web脚本程序，主要是用来探测虚拟空间、服务器的运行状况，而本质上是通过PHP语言实现探测PHP服务器敏感信息的脚本文件，通常用于探测网站目录、服务器操作系统、PHP版本、数据库版本、CPU、内存、组件支持等，基本能够很全面的了解服务器的各项信息，当开发者测试网站忘记把探针删掉以后，就会造成验证的信息泄露

.DS_Store泄露

.DS_Store 是 Mac OS 保存文件夹的自定义属性的隐藏文件。通过.DS_Store可以知道这个目录里面所有文件的清单

备份文件泄露

定义：当开发人员在线上环境中对源代码进行了备份操作，并且将备份文件放在了 web 目录下，就会引起网站源码泄露。

vim泄露

Vim编辑器缓存泄露问题

Vim是一款在Linux系统中广泛使用的高级文本编辑器，类似于Vi。在使用Vim时，编辑器会留下缓存文件。如果Vim异常退出，这些缓存文件可能会留在服务器上，从而导致网站源代码泄露。

Vim缓存文件的产生

在Vim中，swp是swap（交换分区）的简写，用于在编辑文件时创建临时交换文件，以备份缓冲区中的内容。这类似于Windows系统中的虚拟内存功能。

第一次使用Vim打开文件：会生成一个以.swp为后缀的隐藏文件。
第二个窗口同时打开同一个文件：会生成第二个临时隐藏文件，以.swo为后缀。
第三个窗口同时打开同一个文件：会生成第三个临时隐藏文件，以.swp为后缀。

注:

在Unix和类Unix系统（如Linux）中，文件名前面的点（.）表示该文件是隐藏的。因此，在寻找隐藏文件时，需要在文件名前加上点（.）。

版本控制系统文件泄露

git svn cvs

都是用来托管，控制处理信息的系统

git和svn,cvs的区别

git分布式，其余都是集中式的

详解：

在于集中式的版本控制系统每次在写代码时都需要从服务器中拉取一份下来，并且如果服务器丢失了，那么所有的就都丢失了，你本机客户端仅保存当前的版本信息，换句话说，集中式就是把代码放在一个服务器上集中管理，你的所有回滚等操作都需要服务器的支持。

分布式的区别在于，每个人的电脑都是服务器，当你从主仓库拉取一份代码下来后，你的电脑就是服务器，无需担心主仓库被删或者找不到的情况，你可以自由在本地回滚，提交，当你想把自己的代码提交到主仓库时，只需要合并推送到主仓库就可以了，同时你可以把自己的代码新建一份仓库分享给其它人。

logs：保存所有更新的引用记录

实战

1.在url栏添加访问隐藏文件

2.dirsearch扫描url栏得到隐藏文件

3.版本控制文件通过githack等工具进一步进行查找