敏感文件介绍和工具的使用

最新推荐文章于 2024-05-30 15:42:33 发布
最新推荐文章于 2024-05-30 15:42:33 发布
阅读量491 收藏
点赞数
文章标签: 测试工具 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47896403/article/details/131087482
版权

什么是敏感文件:

敏感文件通常指携带敏感信息的文件,最为常见的就是数据库的配置文件、网站源码备份、数据库备份等,管理员为了方便下载,将源码备份放置在 web 目录,然后下载至本地备份,下载完之后忘记删除,从而导致漏洞的出现。

如配置文件泄漏:
最为典型的就是 spring 框架的配置文件泄漏,常见路径:
“/env”
/actuator/env"

这类漏洞通常需要日常收集常见系统的配置文件默认路径,如果存在未授权访问的情况,就会存在文件泄漏的问题。

除了这类常见框架、系统的配置文件泄漏外,还有因为管理员修改配置文件时,为了防止无法恢复,而创建的备份文件,比如 config.php.bak、config.php.20230101 等,这类文件是可以下载的,从而泄漏配置信息

修复方案

1、对于备份文件,为在系统中使用的,可以删除处置,或者备份到其他无法直接通过浏览器访问的目录

2、在使用的无法删除的文件,需要设置权限,仅限本地访问

网站备份泄漏

网站源码备份是网站管理员经常要做的操作,有的管理员会自动备份到备份服务器,而有些管理员为了简单方便,将服务器上到源码打包压缩后放置在 web 目录,然后从服务器再下载到本地,进行本地备份,下载完成之后是应该删除的,但是由于未做这个操作,导致整站源码泄漏。
备份的文件名通常为 wwwroot、www、子域名等,压缩包后缀通常为 zip、tar.gz 等,通过组合常用备份名

最低0.47元/天 解锁文章
weixin_47896403
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
load_file() 常用敏感信息.txt
07-18
load_file() 常用敏感信息
Caesar:一个全新的敏感文件发现工具
03-08
:chequered_flag: 凯撒大帝 为了规避风险,暂停项目
敏感信息扫描工具Seninfo
05-17
python脚本,可实现快速扫描项目源码,识别密码字段、身份证号码、手机号码、邮箱、IP地址,并将识别结果输出到指定excel文件中。python文件,如需扩展,仅需在规则处增加自定义规则即可。
关键字过滤/敏感字替换工具
11-09
现在几乎所有的网站再发布带有文字信息的内容时都会要求过滤掉发动的、不健康的、影响社会安定的等敏感词汇,这里为大家提供了可以是现在这种功能的解决工具类:敏感字收录文件+敏感工具使用
web敏感信息泄漏(36)
yyj1781572的博客
03-31 1784
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理,掌握常见的web信息泄漏漏洞的利用和漏洞防护。
敏感文件
weixin_30408739的博客
02-27 79
phpmyadmin/save/localhost.sql 转载于:https://www.cnblogs.com/crac/p/6476956.html
从0到1-----敏感文件
qq_45616570的博客
06-19 1075
从0到1-----敏感文件 第一章 常见的收集1 题目 题目链接:http://b1d2289c-7275-4f70-9f32-8945eb3cf189.node3.buuoj.cn/ 解题思路 常见的敏感文件: gedit备份文件,格式一般是文件名加后缀,例如:index.php~ vim备份文件,格式为文件名加.swp例如:index.php.swp robots.txt 解题过程 查看index.php~获取第二段flag为flag2:s_v3ry_im 访问robots.txt获取到一个不
敏感文件探测方法
weixin_30611509的博客
03-22 422
常见敏感文件类型:1.网站管理后台          2.数据文件          3.备份文件 敏感文件探测原理:         猜测文件名         案列:御剑扫描敏感文件 转载于:https://www.cnblogs.com/csm21/p/10580479.html...
敏感文件监控
m0_56375711的博客
01-05 314
在安全状态下对文件进行一次摘要保存起来,当文件状态更新或者一段时间之后再次对文件进行摘要,并对比两次的摘要是否相同,即可判断文件是否被篡改。但这里也有一个潜在的风险,入侵者可能会更改最开始安全状态下的摘要,解决办法可以是将安全状态的摘要存储在远程安全的服务器中。判断文件是否被篡改可以使用md5sum命令记录文件的数字指纹,md5是一种数字摘要算法,具有不可逆加密的特性,可以用来检测数据是否被篡改或者保存密码,可以针对任意文件类型进行摘要。上述摘要可以检测文件是否被篡改,但无法检测出是否有文件新增或删除。
【网络安全】Redis未授权访问查看敏感文件
你在看屏幕的同时,屏幕也在注视着你
12-21 1545
redis服务查看敏感文件
文件粉碎工具、强制删除文件工具
03-28
用户可以根据需要选择合适的算法进行文件销毁,并且一些软件还提供了计划任务功能,可以定期清理系统中的敏感文件。 在使用文件粉碎软件时,用户需要选择需要粉碎的文件文件夹,并选择粉碎的级别。一般来说,软件...
java 敏感字过滤/替换工具
11-09
文件为.java文件,可以配合前面上传的敏感字收录文件进行使用敏感字过滤工具;包括替换以及自定义过滤格式等
使用DirBuster寻找敏感文件和目录
Jie2418的博客
05-30 275
Dirbuster是一种履带式和粗暴式的混合物,它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与使用文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。电脑配置好的可根据情况选择,本次实验将线程数设置为20,大家可自行设置,看看不同设置后运行的效果!需要注意的是这个地址要加上协议,看网站是http还是https。
文件读取漏洞后的深入利用姿势(建议收藏)
Python栈
06-27 352
当我们遇到任意文件读取漏洞的时候,我们需要考虑如何通过这一个小点去扩大我们的成果,达到最大化利用的目的。
渗透测试中Windows、Linux敏感文件
weixin_46239998的博客
04-30 2327
渗透测试中常用的敏感文件
敏感文件读取问题
ying890的专栏
09-02 592
当遇到异步提交和不需要登录就能直接访问的请求一定要小心,当请求参数中带有路径的参数要考虑到敏感文件它是否可以读到.   检查工具:firefox 浏览器,添加插件:hackbar
17、敏感文件探测入门
lqyzkn的博客
08-08 573
内容 如何检测系统是否部署好了Python环境? 什么是“敏感文件”? 常见的“敏感文件”类型 敏感文件探测原理 实战 改进思路 1. 如何检测系统是否部署好了Python环境? Python环境的部署是进一步进行敏感文件探测的前提,需提前配置好并自学Python。 2. 什么是“敏感文件”? 3. 常见的“敏感文件”类型 4. 敏感文件探测原理 5. 实战 6. 改进思路 **日常积累:**cmd窗口——输入“要输入内容的前几个字母”然后按下“tab键”,会实现
【漏洞笔记】敏感文件
TeamsSix 的 CSDN 空间
11-23 945
0x00 概述 漏洞名称:敏感文件 风险等级:低 问题类型:信息泄露 0x01 漏洞描述 由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。 Web应用程序显露了某些文件名称,此信息可以帮助攻击者对站点进一步的攻击。例如,知道文件名称之后,攻击者便可能获得它的内容,也许还能猜出其它的文件名或目录名,并尝试访问它们。 0x02 漏洞危害 攻击者可直接下载用户的相关信息...
【SpringMVC】_设置响应状态码与Header
最新发布
m0_63299495的博客
05-30 642
按照状态码的含义而言,401状态码应属于请求错误,但后端设计的响应页面仍然在前端成功显示,这应是状态码为200的结果。设置响应的Header在开发中并不常见,大多数数据都可以通过其他方式如body部分进行传递。另一方面,完全可以修改接口类型来实现这种目的,比如使用对象或Map,无需生硬地使用这种方式。通过这种方式实现Content-Type的类型很少使用,注意状态码与页面的显示无关,此处是指HTTP状态码。一方面,当返回的值与设置的属性值不匹配时会设置失败;HTTP响应首行显示:状态码确实为401。
maven配置文件敏感数据加密
03-28
Maven可以使用加密工具敏感数据进行加密,以确保安全性。 1. 安装JCE(Java Cryptography Extension)无限制策略文件 下载Java Cryptography Extension (JCE)无限制策略文件,解压缩后将jar包放到$JAVA_HOME/jre/lib/security/目录下。 2. 生成密钥文件 使用Maven提供的命令生成密钥文件: ``` mvn --encrypt-master-password <master_password> ``` 其中,`<master_password>`是需要加密的密码。执行该命令后,Maven会生成一个加密后的密码,例如: ``` {jSM4J4wmZ2B4peOFzDZ+3v7V3qJy5a7I9XQ2Oz7V5J8=} ``` 将这个加密后的密码复制到`settings.xml`文件中,如下所示: ``` <settings> <servers> <server> <id>myserver</id> <username>myusername</username> <password>{jSM4J4wmZ2B4peOFzDZ+3v7V3qJy5a7I9XQ2Oz7V5J8=}</password> </server> </servers> </settings> ``` 3. 解密密钥文件 在Maven配置文件中,使用加密后的密码可以确保安全性,但是在实际使用中需要将其解密。可以使用Maven提供的命令解密密钥文件: ``` mvn --encrypt-password <password> ``` 其中,`<password>`是加密后的密码。执行该命令后,Maven会生成一个解密后的密码,例如: ``` {mysecretpassword} ``` 将这个解密后的密码复制到`settings.xml`文件中,如下所示: ``` <settings> <servers> <server> <id>myserver</id> <username>myusername</username> <password>{mysecretpassword}</password> </server> </servers> </settings> ``` 现在,`settings.xml`文件中的密码已经被加密并且解密,可以确保安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值