信息泄露(源码泄露)

最新推荐文章于 2024-06-02 14:30:00 发布
最新推荐文章于 2024-06-02 14:30:00 发布
阅读量669 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41976183/article/details/106597722
版权

git源码泄露:

git版本控制器使用不当:开发者在空目录执行git init时,git会创建一个.git目录。这个目录包含git存储和操作的对象,如果想备份或者复制一个版本库,只需把这个目录复制到另一处就可以了。

漏洞利用:

开发者在发布代码时,如果没有把.git目录删除,直接发布到了运行目录中,攻击者就可以通过这个文件夹来恢复源代码,利用工具:GitHack,执行命令:

GitHack.py http://www.localhost.test/.git/ ,就可以将源代码复制下来。

 

使用此工具(dvcs-ripper)下载网站源码:

https://github.com/kost/dvcs-ripper

如果您只想要docker版本,则在这里:

https://github.com/kost/docker-webscan/tree/master/alpine-dvcs-ripper

只需说一句话:

docker run --rm -it -v /path/to/host/work:/work:rw k0st/alpine-dvcs-ripper rip-git.pl -v -u http://www.example.org/.git

对于mac系统,在挪动的时候避免把隐藏文件DS_Store也搬到了生产环境中,导致暴露了目录结构。

代码泄露问题的防御建议:

发布代码时尽量使用rsync工具来进行,此工具可以排查一些目录或者文件,比如要排除所有的.svn文件,可以使用下面的命令来排除:

rsync -avlH --exclude=*.svn root@localhost:~/tmp/ /data/version/test/

  1. Git仓库的根目录新建一个文件夹,把代码放到了此文件夹中,网站的根目录应该(直接)指向此文件夹,这样攻击者就不能访问到.git文件夹的内容了。
  2. 不要直接知用Git或者SVN等工具拉取代码到生产目录,可以在一个临时目录先拉取下来,把其中的一些版本控制器附带信息去掉后再哦同步到生产目录。
  3. 使用MAC系统的开发者需要注意,不要把.ds_store文件上传上去,因为里面包含一些目录信息,会导致文件名称泄露。
  4. Web生产目录中不要存放代码压缩文件,这些文件极有可能被攻击者发现,从而下载下来。
dshfyjxdnh
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dvcs-ripper-master.7z
05-08
dvcs-ripper-master.7z
#资源分享达人# 源码泄露(PbootCMS等)的压缩包.zip
08-02
在IT行业中,源码泄露是一个严重的问题,尤其对于软件开发者和企业来说,因为源代码是他们的核心竞争力。这里我们关注的是一个名为“#资源分享达人# 源码泄露(PbootCMS等)的压缩包.zip”的文件,其中包含了一些被...
信息泄露之dvcs-ripper-master的使用
qq_51558360的博客
03-06 2772
HG泄露 本题需要使用dvcs-ripper工具进行处理,使用命令 ./rip-hg.pl -v -u http://challenge-XXX.sandbox.ctfhub.com:10080/.hg/ 此时可以通过cat lastSVN泄露 进行简单配置相关要求的组件: sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl 不然会出现这样的错
dvcs-ripper安装教程
Barlow_121212的博客
09-26 4035
在ctf比赛中,往往会需要用到一些实用的工具。 在这里就有针对SVN泄露的工具——————dvcs-ripper。 ⭐使用linux 执行下面的命令: git clone https://github.com/kost/dvcs-ripper.git ⭐进入dvcs-ripper目录 cd dvcs-ripper ⭐使用工具 ./rip-svn.pl -u http://challenge-813102013a303fb9.sandbox.ctfhub.com:10800/.svn .
dvcs-ripper下载安装和使用
最新发布
weixin_68416970的博客
06-02 397
泄露利用工具dvcs-ripper的下载、安装和使用
dvcs-ripper工具的使用和安装
菜鸟-宇的个人博客
10-05 590
下载地址:https://github.com/kost/dvcs-ripper。工具使用perl语言,需要安装perl环境。(此处只使用SVN教程)
探索DVC Ripper:强大的版本控制系统数据提取工具
gitblog_00020的博客
03-25 369
探索DVC Ripper:强大的版本控制系统数据提取工具 dvcs-ripperRip web accessible (distributed) version control systems: SVN/GIT/HG...项目地址:https://gitcode.com/gh_mirrors/dv/dvcs-ripper 在软件开发中,版本控制系统(如Git)是不可或缺的工具,它们保存了代码的历...
CTF比赛中web源码泄露扫描.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。 全国大学生电子...
批量扫网站源码.zip
12-20
标签中的“信息泄露”提示我们,如果不正确地管理源码,可能会导致敏感信息,如数据库连接字符串、API密钥或其他专有代码暴露在外,因此这样的工具也有助于发现和防止这类风险。 使用这个工具时,用户应确保遵循...
valgrind源码 内存泄露 内存检测
10-26
valgrind源码 内存泄露 内存检测 工具
memwatch内存泄漏检测源码.zip
05-14
未释放的内存块会与分配时的信息一起报告,包括泄漏的字节数和发生泄漏的代码行号。 4. **报告机制**:`memwatch` 应该有一个友好的用户界面,用于展示内存泄漏的结果。这可能是命令行输出,也可能是通过日志文件或...
dvcs-ripper:Rip Web可访问(分布式)版本控制系统:SVNGITHG ..
02-22
dvcs开膛手 Rip Web可访问(分布式)版本控制系统:SVN,GIT,Mercurial / hg,bzr,... 即使关闭目录浏览,它也可以翻录存储库。 确保将自己置于要下载/克隆存储库的空目录中。 要求 Perl Perl模块: 必需:LWP,IO :: Socket :: SSL 对于较新的SVN:DBD :: SQlite和DBI 更快的GIT:Parallel :: ForkManager,Redis和Algorithm :: Combinatorics (D)您想撕裂的内容的VCS客户端(cvs,svn,git,hg,bzr等) 对Debian / Ubuntu的要求 您可以轻松安装perl要求: sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-
QQ在线状态查询源码
11-18
QQ在线状态查询源码,,QQ在线状态查询源码
CTFHUB-web-信息泄漏
XiaoYeZhu_1314的博客
03-16 1088
题目所在位置:技能树->web->信息泄漏。
CTFHub Web 信息泄露 SVN泄露
m0_51319369的博客
04-30 570
前期准备: 下载工具dvcs-ripper 1,sudo apt-get install perl libio-socket-ssl-perl libdbd-sqlite3-perl libclass-dbi-perl libio-all-lwp-perl #安装环境 2,sudo apt-get install libparallel-forkmanager-perl libredis-perl libalgorithm-combinatorics-perl #faster git rip(可选,更快的)
CTF中常见Web源码泄露总结
weixin_30491641的博客
01-30 745
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用...
ctf/web源码泄露及利用办法【总结中】
热门推荐
Sp4rkW的博客
10-06 2万+
.hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.am0s.com/.hg/ 漏洞利用:工具:dvcs-ripper rip-hg.pl -v -u http://www.am0s.com/.hg/ .git源码泄漏 漏洞成因:在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记录代码的变更记录等...
常见Web源码泄漏及其利用
good good study
03-27 6636
git是一个版本控制工具,可以高效便捷地管理大大小小的项目版本。通俗点来说,就是一个项目或者说工程有多个人一起干,这个项目里每个人都有可能都拿同一文件...
《绝地求生》外挂源代码被公布,或迎神仙大战时代?
CSDN资讯
01-12 5352
点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!本文来自开源中国,内容参考自吃鸡总指挥和网易科技,感谢蓝桥杯的整理。绝地求生大逃杀(PlayerUnknown’s Battlegrounds)》从去年开始就爆红,还引发了全世界玩家的“吃鸡”热潮。但之后很多外挂制作者也开始瞄准吃鸡这个市场,逆天外挂频频出现,比如之前我们已经见过的“路飞挂”、“黄金甲挂”、“隔空取物挂”等等,吃鸡出神
重磅!GitHub 全部源代码泄露
程序猿DD
12-15 1372
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!前言由于内部分析基础设施的容量已达到极限,总部设于俄亥俄州克利夫兰市的美国KeyBank银行于今年开始转向...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值