产生漏洞的原因:当开发人员对站点自动部署。如果配置不当,可能会将.hg .svn .hg文件夹直接部署到线上环境,这就引起了相应的泄漏漏洞。
git检测的方法
1.dirseach
dirsearch是基于python3的命令行工具,常用于暴力扫描页面结构,包括网页中的目录和文件。
2.githack
githack是一个.git泄漏脚本,通过泄露的.git
文件夹下的文件,重建还原工程的源代码。渗透测试人员、攻击者1可以进一步审计代码,挖掘、文件上传、sql注入等web安全漏洞。
SVN泄露的检测方法
1.dirsearch
2.dvcs-ripper
利用一款地perl版本控制软件信息泄漏利用工具,叫dvcs-ripper,支持SVN、GIT、Mercurial/hg,bz等等。
1.提取完整的仓库:通过提取SVN仓库的内容,包括所有的分支和标签。这对于安全分析人员来说非常有用,因为他们可以1在本地分析代码,寻找潜在的问题而无需实时访问目标服务器。
2.历史分析:通过提取SVN的完整历史记录,分析人员可以查看过去的历史记录,寻找可能被遗忘的敏感信息,比如旧的配置文件、密码硬编码等。
3.差异分析:分析不同版本之间的差异,帮助识别代码中的变化,尤其是安全相关的修改,例如修补了哪些漏洞,或者引入了新的潜在风险。
4.自动化扫描:与其他工具结合使用,例如静态代码分析工具,可以自动化地识别代码中常见安全问题。
HG泄漏的检测方法
1.dirsearch
2.dvcs-ripper