文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

如何进行Web安全中的代码泄露分析

2023-06-17 03:59

关注

这篇文章给大家介绍如何进行Web安全中的代码泄露分析,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

代码泄露一般有SVN代码泄露及GIT代码泄露。例如在使用SVN管理本地代码过程中,会自动生成一个名为SVN的隐藏文件夹,其中包含重要的代码信息。但一些开发者在发布代码的时候,直接复制代码文件夹到Web服务器,这就使SVN隐藏文件夹暴露于外网。攻击者可利用该漏洞下载网站的代码,再从代码里获得数据库的连接密码或者通过代码分析出新的系统漏洞,进一步入侵系统。

另外,也有大量的开发者使用GIT进行版本控制及对站点进行自动部署。如果配置不当,可能会将GIT文件夹直接部署到线上环境,这就引起了GIT文件泄露。攻击者可直接从泄露的代码中获取敏感配置信息(如邮箱及数据库等),也可以进一步审计代码,挖掘文件上传及SQL注入等安全漏洞。

总体来讲,代码泄露是开发者安全意识不到位造成的。

例1:某站存在SVN代码泄露。开启浏览器,输入某站主域名/.svn/entries,Web服务器返回信息如图1所示。

如何进行Web安全中的代码泄露分析

图1  SVN代码泄露

由图1可见,这里可能存在SVN代码泄露。攻击者继续使用SVN代码泄露利用工具,如图2所示。

如何进行Web安全中的代码泄露分析

图2  SVN代码泄露利用工具

我们可以看到,Web目录结构已经出来了,如图3所示。

如何进行Web安全中的代码泄露分析

图3  Web目录结构

几分钟后,代码就下载完成,打开index.php文件,可以看到是服务器代码而非HTML代码,如图4所示。

如何进行Web安全中的代码泄露分析

图4  服务器代码

由图4可见,这里确实存在SVN代码泄露。此时,攻击者就可以对该站点进行目录结构分析、敏感信息收集(如数据库链接文件)或者代码审计,试图寻找SQL注入、文件上传等漏洞实施进一步的渗透测试。

例2:某站存在GIT文件泄露。开启浏览器,输入某站主域名/.gitignore,Web服务器返回信息如图5所示。

如何进行Web安全中的代码泄露分析

图5  GIT文件下载

下载GIT文件,如图6所示。

如何进行Web安全中的代码泄露分析

图6  GIT文件泄露

可以看到,GIT文件中的内容其实已经泄露了Web站点的代码的目录结构。访问robots.txt文件,Web服务器返回信息如图7所示。

如何进行Web安全中的代码泄露分析

图7  GIT文件泄露

由图7可见,这里确实存在GIT文件泄露。如果想通过该GIT文件下载该Web站点的代码,可以使用GitHack这个工具。 

关于如何进行Web安全中的代码泄露分析就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯