溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章給大家介紹如何進行Web安全中的代碼泄露分析,內容非常詳細,感興趣的小伙伴們可以參考借鑒,希望對大家能有所幫助。
代碼泄露一般有SVN代碼泄露及GIT代碼泄露。例如在使用SVN管理本地代碼過程中,會自動生成一個名為SVN的隱藏文件夾,其中包含重要的代碼信息。但一些開發者在發布代碼的時候,直接復制代碼文件夾到Web服務器,這就使SVN隱藏文件夾暴露于外網。攻擊者可利用該漏洞下載網站的代碼,再從代碼里獲得數據庫的連接密碼或者通過代碼分析出新的系統漏洞,進一步入侵系統。
另外,也有大量的開發者使用GIT進行版本控制及對站點進行自動部署。如果配置不當,可能會將GIT文件夾直接部署到線上環境,這就引起了GIT文件泄露。攻擊者可直接從泄露的代碼中獲取敏感配置信息(如郵箱及數據庫等),也可以進一步審計代碼,挖掘文件上傳及SQL注入等安全漏洞。
總體來講,代碼泄露是開發者安全意識不到位造成的。
例1:某站存在SVN代碼泄露。開啟瀏覽器,輸入某站主域名/.svn/entries,Web服務器返回信息如圖1所示。
圖1 SVN代碼泄露
由圖1可見,這里可能存在SVN代碼泄露。攻擊者繼續使用SVN代碼泄露利用工具,如圖2所示。
圖2 SVN代碼泄露利用工具
我們可以看到,Web目錄結構已經出來了,如圖3所示。
圖3 Web目錄結構
幾分鐘后,代碼就下載完成,打開index.php文件,可以看到是服務器代碼而非HTML代碼,如圖4所示。
圖4 服務器代碼
由圖4可見,這里確實存在SVN代碼泄露。此時,攻擊者就可以對該站點進行目錄結構分析、敏感信息收集(如數據庫鏈接文件)或者代碼審計,試圖尋找SQL注入、文件上傳等漏洞實施進一步的滲透測試。
例2:某站存在GIT文件泄露。開啟瀏覽器,輸入某站主域名/.gitignore,Web服務器返回信息如圖5所示。
圖5 GIT文件下載
下載GIT文件,如圖6所示。
圖6 GIT文件泄露
可以看到,GIT文件中的內容其實已經泄露了Web站點的代碼的目錄結構。訪問robots.txt文件,Web服務器返回信息如圖7所示。
圖7 GIT文件泄露
由圖7可見,這里確實存在GIT文件泄露。如果想通過該GIT文件下載該Web站點的代碼,可以使用GitHack這個工具。
關于如何進行Web安全中的代碼泄露分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
