web 1

已于 2022-01-18 19:51:29 修改
阅读量2.1k 收藏
点赞数
文章标签: 前端 安全 web安全
于 2022-01-18 19:45:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52153837/article/details/122565311
版权

1.3源码泄漏

1).git泄露

漏洞危害 :
- 攻击者利用此漏洞可获取应用程序源代码,分析源码进行进一步攻击利用;
- 攻击者利用此漏洞可获取数据配置信息,可能直接导致应用程序用户信息泄漏,设置获取服务
器权限;
修复建议:
 - 删除网站目录下的 `.git` 文件
 - 中间件上设置 `.git` 目录访问权限,禁止访问
githick 工具使用完之后,都会生成一个 index.html 或者是 新的文件夹 。
2).svn 泄漏
漏洞危害:
* 攻击者可以利用 `.svn/entries` 文件,查找网站的应用程序源代码、 svn 服务器账号密码等
信息。
* SVN 产生的 `.svn` 目录还包含了 `.svn-base` 结尾的源代码文件副本(低版本 SVN 具体路
径为 `text-base` 目录,高版本 SVN `pristine` 目录),如果服务器没有对此类后缀做解
析,黑客则可以直接获得文件源代码。
修复建议 :
- 查找服务器上所有 .svn 隐藏文件夹,删除。
- 开发人员在使用 SVN 时,严格使用导出功能,禁止直接复制代码。
3)HG泄露
漏洞利用工具:dvcs-ripper
4)文件恢复 (Vim 临时文件缓存)
有时候扫目录会出现 .filename.swp ,这就是在 vim 编辑 fifilename 时意外退出而产生的恢复文件
恢复文件的命令——vi -r .filename.swp
一个网站的 Banner 信息,即是该网站服务器对外现实的一些基础信息。从而了解网站的相关信息
5)gedit备份文件
Linux中,使用gedit编辑器保存文件 flag 之后,会在当前目录下生成一个 flag~ 的文件,内容也是 flag 文件当中的内容。 可通过浏览器访问该文件 ~ ,即可得到源代码
6)phps 泄漏
可以通过 访问相关文件的 phps 后缀名寻求flag
网站备份文件泄露(压缩包)
常见 : .rar、 .zip .7z .tar .gz .tar.gz .bz2 .tar.bz2 .sql .bak .dat .txt、 .log .mdb
可以用目录工具扫出来 ,之后进行查看
1.4收集域名信息

Whois 查询:Kali whois 查询,dns检查查询链接

思路:通过 dns 检查查询 flag ,通过 ping 命令查到域名的真实 IP

王瑨杰
关注
CTFshow_萌新计划——web1~web8
Ho1aAs‘s Blog
10-31 1843
文章目录一、web1~4二、web5~8完 一、web1~4 ·web1 代码审计,要求发送GET请求使id参数为1000即可得到flag,然而需要绕过if下的intval()函数,大于999直接报错。由于PHP是弱语言,此处有两种思路: 逻辑或:?id=999 or id=1000,?id=999 || id=1000此处intval函数得到的值是999,绕过了判断语句,从而执行sql语句,得到flag 加号:?id=999+1利用了弱语言的特性绕过intval,传入sql执行相加得到1000 ·we
ctfshow信息搜集 web1-web20 wp
mumuzi的博客
01-31 2328
开坑! 文章目录信息搜集web1web2web3web4web5web6web7web8web9web10web11web12web13web14web15web16旧web17新web17web18web19web20常见信息泄露 信息搜集 web1 打开查看源代码 web2 想给的考点是js禁F12,但是没想到吧,我用ctrl+u看的源代码 web3 抓包 web4 常见信息泄露:robots.txt(机器人),即访问url/robots.txt Robots协议:它通常告诉网络搜索引擎的漫游器(又称网
1+X Web前端等级考证 | 2020 12月Web前端开发中级实操 (模拟试题第一套) 附答案
go
11-18 1万+
目录试题一(30分)试题二(45分)试题三(15分)试题四(20分)实操考试答案评分细则 2020年下半年 Web前端开发中级 理论考试 考生姓名:——————————— 准考证号:—————————— 试题一(30分) 阅读下列说明、效果图和HTML代码,进行静态网页开发,填写(1)至(10)代码。 【说明】 这是一个响应式完成,用bootstrap4完成响应式轮播效果。 项目采用Bootstrap框架,包含首页index.html、css文件夹、js文件夹、img文件夹,其中
IDEA2023系列创建web项目
2202_75341355的博客
02-09 3752
系统的默认编码是GBK,而java的默认编码为UTF-8,tomcat9之前服务器默认使用GBK,在tomcat9之后,服务器使用UTF-8,所以dos命令窗口启动tomcat8服务器不会出现乱码(这里以tomcat8为例),在IDEA中启动控制台会出现乱码。我尝试过把tomcat10系统文件的默认编码格式改为GBK,然后在IDEA中解决乱码问题,虽然dos命令窗口乱码解决了,但是不知道为什么不能解决,所以我就没改,也不影响。点击Modules,选择要添加web的模块,点击上面的+号,选择web选项。
Web GIS 概述
Evan 的博客
10-13 4387
什么是 Web GIS?为什么要学 Web GIS?怎么学 Web GIS?
什么是Web3D?Web3D技术发展历程以及Web3D应用场景
左本Web3D
03-14 3437
什么是Web3D?Web3D是一种利用Web技术创建和展示3D场景和模型的技术。Web3D技术让用户可以通过Web浏览器直接访问和浏览3D内容,无需安装任何额外的插件或软件。Web3D技术通常使用HTML、CSS、JavaScript等Web标准技术进行开发,并使用各种3D引擎和库来实现3D渲染、交互和动画等功能。Web3D技术的优势在于可以在不同平台和设备上运行,包括桌面、移动设备和虚拟现实设备等,用户可以随时随地访问3D内容。
web常用快捷键
YY的博客
11-18 1534
web常用快捷键
Web标准
热门推荐
JiuMeilove的博客
09-01 2万+
Web 标准     Web 标准也称网页标准,它由一系列标准组成,这些标准大部分由 W3C 负责制订,也有一些标准由其他标准组织制定的,如 ECMA 的 ECMAScript 标准等。 狭义的 Web 标准是指网页设计的 DIV+CSS 化,广义的 Web 标准是指网页设计要符合 W3C 和 ECMA 规范。 Java Script 负责开发网页的交互效果。 W3C 是 World Wide Web Consortium 的缩写,中文译为“万维网联盟”,是一个 We
Web 标准的好处
fdsal的博客
09-10 1787
Web 标准的好处 遵循web标准可以让不同我们写的页面更标准更统一外,还有许多优点: 1、让Web的发展前景更广阔 2、内容能被更广泛的设备访问 3、更容易被搜寻引擎搜索 4、降低网站流量费用 5、使网站更易于维护 6、提高页面浏览速度 ...
WEB AR汇总
缘于始,终于途
08-01 8884
目前的AR开发主要是在unity,android,ios上完成的,但在WEB平台上也已经出现了一些有趣的AR案例。比如之前迪士尼的电影宣传网页AR游戏。今天给大家分享一些关于Web+AR的技术原理与开发心得。 实现原理 AR实时地计算摄影机影像的位置及角度并加上相应模型,所以不管是用opencv或Python的CV库,ARToolkit还是我们今天所说的用javaScripts来原生的实现...
IIS5.1_For_XP完整版(包括TSWEB1.HTM)
08-01
`TSWEB1.HTM`文件通常与远程桌面Web访问(Terminal Services Web Access, TS Web Access)有关。在IIS5.1中,这个文件可能是一个配置页面或帮助文档,用于指导用户如何通过Web浏览器远程访问Windows XP上的终端服务...
Web设计购物网站程序源码下载
06-05
Web设计购物网站程序源码是开发在线电子商务平台的基础,它涉及到多个技术和概念。在这个项目中,我们使用Eclipse作为集成开发环境(IDE)来编写和管理源代码。Eclipse是一款强大的开源工具,广泛用于Java应用的开发...
WebApi和访问WebApi两个项目
12-05
WebApi和访问WebApi是开发过程中常见的两个概念,它们在构建分布式系统和提供网络服务时起着关键作用。本文将深入探讨这两个项目及其关联技术,包括WebApi的使用和通过HttpWebRequest类进行WebApi调用。 WebApi是...
VS2017,C#,WinForm,WebAPI客户端+WebAPI服务端
05-12
C#,Winform,开发的的一个示例程序,可实现WebAPI客户端发起数据POST请求,可实现WebAPI服务器响应客户端的POST请求。 WebAPI客户端,可使用钉钉和企业微信的群机器人Webhook地址,直接发起POST,实现消息推送。
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 498
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
登录功能开发 P167重点
最新发布
2303_81204446的博客
09-30 267
前端无法识别controller方法,因此存在Dispa什么的。Claims:jwt中的第二部分。
第十一章 【前端】调用接口(11.1)——Vite 环境变量
qdbest的专栏
09-29 91
Vite。
前端规范工程-2:JS代码规范(Prettier + ESLint)
Vinca@的博客
09-26 820
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
前端面试经验总结2(经典问题篇)
rita_0567的博客
09-28 945
因为计算机技术的快速发展,所以程序员如果不能保持对技术的持续性学习,会更容易的被淘汰,我从来不觉得程序员是一个轻松的职业,但是程序员是我最热爱的职业,我做好了充足的准备让自己能够长期在前端行业深耕。既要扩充自己的知识宽度,同时又不要一味的追求学习的东西越多越来,今天学两天这个,明天学两天那个,工作中又没有得到使用的话,很快也都会忘记的。了解,贵公司主要是在xxx行业从事xxx业务,贵公司所处的行业是我非常看好的,我感觉贵公司的氛围我很喜欢,比如xxxx。遇到了哪些挑战,我如何在不利的条件下成长起来的。
Web安全Web架构与Web2.0时代的挑战
Web安全是现代互联网环境中一个至关重要的议题,尤其是在Web服务日益普及和Web2.0技术推动下。Web架构,即基于B/S(浏览器/服务器)模式,通过HTTP协议进行服务提供,最初由于开发简便和部署简易而迅速风靡。随着Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值