漏洞描述
https://forum.hitbtc.com/.git/config
该网站存在漏洞,虽然不能下载源代码,但是却可以清楚的知道该网站的所以文件路径。并且可以进行相应的查看。
通过上面的漏洞,下载.git文件夹下的index文件,可以看到文件列表并进行下载。这里我们发现了一个数据库的文件,可以进行下载,下载的sql文件种包含用户名和密码,表结构等信息。用户信息有200多条。
以下还可以看到管理员的信息,网站配置等内容。
修复建议
1、删除其sql文件。
2、删除.git文件夹
3、在更新网站时不要将.git文件夹上传