Web漏洞

WEB源码泄露漏洞

常见的web源码泄露

  • git源码泄露
  • svn源码泄露
  • DS_Store 文件泄露
  • 网站备份压缩文件泄露
  • WEB-INF/web.xml 泄露
  • CVS泄露
  • hg源码泄漏
  • Bazaar/bzr泄露
  • SWP 文件泄露
  • env泄露

1.git 源码泄露

​ Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。

​ 发布代码的时候,如果没有把.git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码

​ .git目录结构如下:

  • HEAD: 这个git项目当前处在哪个分支里;
  • config: 文件包含项目特有的配置选项,git config命令会改动它;
  • description: 项目的描述信息
  • hooks/: 系统默认钩子脚本目录
  • info/: 目录包含一个全局性排除(global exclude)文件,用以放置不希望被记录在 .gitignore 文件中的忽略模式(ignored patterns)
  • objects/: 目录存储所有数据内容 (commits, trees, blobs, tags)
  • refs/: 标识你项目里的每个分支指向了哪个提交(commit)。
  • index: 文件保存暂存区信息