ctfshow-源码泄露类型题目总结
网络安全风险摘要:网站源码泄露存在多种途径,包括phps/git文件、robots.txt、压缩包、版本控制文件(.git/.svn)、vim临时文件(.swp)等。敏感信息可能存在于网页源码、测试探针、前端JS代码、数据库文件(db.mdb/.sql)中。攻击方式包含目录扫描、DNS穿透、cookie泄露、邮箱信息收集等。防范要点:限制目录扫描权限、检查敏感文件权限、加密前端密钥、定期审计网页源
该类题目在没有限制目录扫描的情况下,直接可以扫出源码泄露的文件,因而可以直接的出结果。但是如果限制了目录扫描,就需要了解各种类型的文件泄露的源码文件。
phps
.git泄露
robots.txt文件泄露
抓包获取
压缩包源码泄露:www.zip
版本控制源码泄露: /.git 或者 /.svn
vim临时文件泄露:.swp文件
cookie泄露
域名txt文件泄露
已经显示的内容有可能是有用信息。
补充:这个道题目是通过网页中的已知信息,可能是管理员后台进入的相关信息。通过dirsearch等扫描目录,可以得到后台为/admin
网站内部技术信息 document文档
在网页源码上可能存在敏感信息,要注意观察,某些这些信息的路径
邮箱信息泄露,注意收集能够对邮箱信息进行修改的信息,比如能够更改邮箱密码的密码问题。
网站测试的探针造成文件泄露,默认访问tz.php
DNS穿透:通过域名查询真实IP
js敏感信息泄露:在前端js的代码中存在敏感信息。
前端密钥泄露:在前端密钥泄露在源代码里
数据库恶意下载:asp+access架构的数据库文件为db.mdb,一般在/db文件夹下.
sql数据库文件泄露,使用dirsearch扫描得到文件名。
火山引擎开发者社区是火山引擎打造的AI技术生态平台,聚焦Agent与大模型开发,提供豆包系列模型(图像/视频/视觉)、智能分析与会话工具,并配套评测集、动手实验室及行业案例库。社区通过技术沙龙、挑战赛等活动促进开发者成长,新用户可领50万Tokens权益,助力构建智能应用。
更多推荐
2
0- 0
已为社区贡献6条内容
所有评论(0)