本文介绍了网站源码泄露的潜在危害,如敏感信息暴露和代码审计风险,并推荐了一个GitHub项目`ihoneyBakFileScan_Modify`用于检测此类漏洞。通过示例展示了如何使用该工具扫描备份文件,最后提供了防止源码泄露的修复建议。
基本介绍
如果开发人员在线上环境中对源代码进行了备份操作并且将备份文件放在了WEB目录下,就会引起网站源码泄露,备份文件中可能包含敏感信息,比如:用户数据、登录凭证、配置文件等,如果备份文件被泄露,那么攻击者可以利用其中的敏感信息进行恶意攻击,破坏网站的安全性和可靠性
漏洞危害
敏感信息:网站源代码中可能包含硬编码的账号、密码、网站真实IP地址、路由等敏感信息
代码审计:网站源代码可以作为代码审计的材料,通过对网站源代码进行审计查找相关的脆弱点进行0day漏洞利用
利用工具
项目地址
https://github.com/VMsec/ihoneyBakFileScan_Modify
项目核心
常见后缀清单列表:
['.zip','.rar','.tar.gz','.tgz','.tar.bz2','.tar','.jar','.war','.7z','.bak','.sql','.gz','.sql.gz','.tar.tgz','.backup
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
