测试中常见的一些信息泄露

最新推荐文章于 2024-03-20 17:39:47 发布
最新推荐文章于 2024-03-20 17:39:47 发布
阅读量3.3k 收藏 2
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoxiongjieluo/article/details/104252606
版权

信息泄露

一、.hg源码泄露

管理员在使用hg init创建一个项目的时候一般会生成.hg,文件一般在根目录下输入.hg就可以发现.

检测方法:http://www.xx.com/.hg/

可能会发现一些配置信息

二、.git源码泄露

管理员在使用git init初始化的时候会在当前的目录下产生一个,git的隐藏文件,用来记录代码的变更记录。在发布代码的时候如果这个目录没有删除可以利用这个文件来恢复源码。
检测方法:http://www.xx.com/.git/config

三、.DS_Store源码泄露

管理员在发布代码时未删除文件夹中隐藏的.DS_store,里面会泄露一些敏感文件名字。
检测方法:http://www.xx.com/.ds_store

四、网站备份压缩文件

该种类型比较常见,一般由于网站管理人员个人习惯,将一些敏感文件随手放在网站根目录下,而该目录未作任何访问权限控制。导致一些源码泄露,可被进行代码审计导致系统安全性降低。一些常见的文件比如.txt .rar .zip .7z .bak .html .tar.gz .swp等等

其中.swp文件为VIM源文件泄露

可尝试使用vim -r /index.php 查看源文件,或者直接访问
/.index.php.swp /index.php

五、SVN文件泄露

造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”(可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息)
检测方法:
1.使用Seay SVN漏洞利用工具
2.在网址后面加 /.svn/entries,可列出网站目录,甚至下载整站。

LOΛD
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
性能测试之内存泄露
03-19
性能测试之内存泄露篇,详细讲解内存泄露相关判断方法以及测试方案
【漏洞笔记】测试文件
TeamsSix 的 CSDN 空间
11-25 271
0x00 概述 漏洞名称:测试文件 风险等级:低 问题类型:信息泄露 0x01 漏洞描述 Web应用程序在开发过程,程序员为了测试代码功能,在Web目录下新建测试目录,存放测试代码,可能包含敏感信息。 0x02 漏洞危害 攻击者读取测试文件信息,可能进一步攻击目标站点。 0x03 修复建议 删除或者限制访问测试文件。 更多信息欢迎关注我的个人微信公众号:TeamsSix 原文地址:https:...
PHP伪协议详解
最新发布
孙栋梁的博客
03-20 175
PHP伪协议是指在PHP的文件操作函数(如file_get_contents()、fopen()等)使用的特殊协议前缀。这些协议使得PHP在访问文件系统之外的数据源时,能够像访问本地文件一样进行读取、写入等操作。PHP伪协议提供了一种灵活和强大的方式来处理各种类型的数据源,使得开发者在编写PHP代码时能够更方便地操作和处理文件和数据。然而,在使用这些伪协议时,也需要注意安全性和性能方面的问题,确保不会引入潜在的安全风险或性能瓶颈。
文件泄露漏洞
bbszhenshuai的博客
05-18 1176
导语 这些信息泄露的漏洞只有马虎的程序员才会犯,希望大家都不要犯错哦~ 这些题在ctfhub里都可以重做哒。 网站源码 可能会有马虎的程序员将整个网站的源码打包起来且放在了网站目录下,导致我们可以直接获取网站的源码,给我们进一步渗透提供了更加广泛的思路。 题目给了我们常见的备份文件字段和后缀,那我们直接写脚本就行了 #! python3 import requests url1 = 'http://challenge-8b081249201cd9d3.sandbox.ctfhub.com:10080/'
黑盒测试之敏感信息泄露
LAngle9的博客
04-14 2472
测试环境准备,配置hosts ,测试账号,浏览器开启代理。 工具, burp ,设置代理和浏览器一致,开始抓包。 把所有页面全部点一遍,再看burp 抓的包,.css与. js 的页面一般不用太关注,因为这些回包的内容都是一些框架之类的,不涉及用户信息,不算敏感的数据包。 . json这个是主要要看的包,看它的回包是否有用户手机号,身份证号,银行卡号,秘钥,等是否存在明文传输,如有这是也算是个危漏洞。 当然这只是看网页自身的返回包,没有去执行什么操作的时候是否有敏感信息泄露。整体看完后,在着重看
CTFHub-Web-信息泄露-HG泄露
qq_54037445的博客
11-19 394
CTFHub-Web-信息泄露-HG泄露 flag寻找,dvcs-ripper使用
68、PHPINFO信息泄露检测与利用
Fly_鹏程万里
10-20 1994
PHPINFO信息泄露是指通过访问Web服务器上的PHPINFO页面获取关于PHP配置和服务器环境的敏感信息的攻击行为,PHPINFO页面是一种特殊的PHP脚本,它可以列出PHP解释器的配置信息和环境变量等详细信息,攻击者可以通过访问PHPINFO页面获取服务器的敏感信息,比如:PHP版本号、模块版本、文件路径、安装路径、操作系统版本等,这些信息可以被攻击者用于实施其他攻击行为,比如:利用已知的漏洞进行攻击或者编写定制的攻击脚本。
【性能测试常见的性能测试指标
热门推荐
sysu_lluozh
03-02 1万+
从性能测试分析度量的角度,性能指标的维度如下: 系统性能指标 资源性能指标 间件指标 数据库指标 稳定性指标 可扩展性指标 可靠性指标 接下来从各自维度常见指标及指标含义看看各个性能测试指标 一、系统性能指标 系统性能指标,常见的有如下几类: 响应时间 系统处理能力 吞吐量 并发用户数 错误率 1.1 响应时间 响应时间,简称RT 指系统对请求作出响应的时间,可以理解为用户从客户端发起一个请求开始,到客户端接收到从服务器端返回的响应结束,整个过程耗费的时间 直观上看,这个指标与人对软件性能的主观感
软件测试常见的面试和笔试汇总
10-03
疲劳测试:将杯子盛上水(案例一)放24小时检查泄漏时间和情况;盛上汽油(案例二)放24小时检查泄漏时间和情况等 压力测试:用根针并在针上面不断加重量,看压强多大时会穿透 例如二、 2.系统测试的策略有_______...
浅谈云上渗透测试方法.pdf
08-08
演讲者Mickey现就职于某大型国际网络公司,多年负责和云相关的业务,所以对云上的一系列安全问题有着自己的独特...凭据泄漏的常见方式 S3存储桶权限配置过松 Case DEMO: 错误配置的IAM权限导致的权限提升 防护 学习资源
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
JS常见内存泄漏及解决方案解析
10-15
主要介绍了JS常见内存泄漏及解决方案解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
常见web应用漏洞和检测方案
06-06
敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试 不安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话预测缺陷 会话注销测试 目录枚举测试 路径遍历测试 ...
CTFHub - 信息泄露 -- HG泄露
m0_52920608的博客
01-28 696
CTFHub hg 信息泄露
笔记-Web安全与漏洞
xiaoxiongjieluo的博客
04-29 4917
这个有一个权威的排行榜。也就是传说的-----OWASP TOP10 http://www.owasp.org.cn/ 这个会不定时的更新,而且里面说例子和原理都挺全面的, 大家可以去这里看到最新的威胁排行 OWASP: 开放式Web应用程序安全项目(OWASP)是一个非营利组织,不附属于任何企业或财团。因此,由OWASP提供和开发的所有设施和文件都不受商业因素的影响。OWASP支持...
Linux的一些排查webshell小方法
xiaoxiongjieluo的博客
02-12 1704
查找目录最后N分钟被改变数据的PHP文 find -mmin n -name *.php /var/www/name/ access time 表示最后一次访问(仅访问,非改动)的时间 modify time 表示最后一次修改文件的时间 change time 表示最后一次对文件属性改变的时间,包括权限、大小、属性等。 find . -name “*.php” -print0 |xargs ...
内网的一些基础知识
xiaoxiongjieluo的博客
02-12 839
工作组
HTTP请求方法和返回
xiaoxiongjieluo的博客
02-11 788
HTTP的请求方法 1.GET 请求访问已识别的资源 2.PUT 本质上来讲, PUT和POST极为相似,都是向服务器发送数据,但它们之间有一个重要区别,PUT通常指定了资源的存放位置,而POST则没有,POST的数据存放位置由服务器自己决定。 3.HEAD 和GET方法类似,不返回报文主体部分,一般用来测试资源标识符有效性或者资源更新的日期和时间 4.DELETE 删除文件 5. OPTIONS...
软件测试测试风险有哪些
05-24
在软件测试过程,可能会面临以下测试风险: 1. 产品风险:指软件产品可能无法满足需求、功能、性能或可靠性等方面的...以上是常见测试风险,测试人员在测试过程需要及时识别和管理这些风险,以确保测试效果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值