【漏洞学习】DVP-2018-02283(数据库备份泄露整个www文件夹)

最新推荐文章于 2022-11-23 14:48:00 发布
原创 最新推荐文章于 2022-11-23 14:48:00 发布 · 203 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

此漏洞涉及网站的完整备份文件暴露,包含182个页面的所有网页内容,直接可供下载。建议立即采取措施,如删除、隐藏或加密处理,以防止信息泄露。

漏洞URL:http://www.dlecoin.com/www.zip

简要描述: 整个www的备份文件,网页的全部内容都有。

漏洞证明:

漏洞利用代码:

该数据库备份可以直接下载,共182个页面,各个网页的信息都有。

修复方案:

删除,或者做隐藏处理,或者做权限加密处理

web渗透--49--常见的数据信息泄露
武天旭的博客
09-22 5689
一、备份文件泄漏 1.1、漏洞描述: 备份文件泄露,在web服务中,常常不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑,为展开其他类型的攻击提供有利信息,降低攻击的难度,可以进一步获取其他敏感数据。
精选资源
台达PLC_DVP-ES3系列硬件及使用手册_硬件配置+连线设定+主机运作+软件设定等.pdf
12-25
台达PLC_DVP-ES3系列是一款由台达电子科技公司推出的可编程逻辑控制器,其硬件配置丰富,适用于各种工业自动化应用场景。本手册详细介绍了该系列PLC的硬件配置、连线设定、主机运作以及软件设定等内容,旨在帮助用户...
备份文件泄露
fansenliangren的博客
11-23 1442
应用在开发测试及运行过程中,应用中会遗留过时文件(bak文件、rar打包的源码等)、运维文件(log文件等)、备份源码(如SVN、git等)、渗透测试遗留文件(测试webshell等)、开发文件等敏感信息,可通过浏览器直接访问下载。
php漏洞黑掉数据库,PHPFusion数据库备份泄露漏洞 Exploit
weixin_35830270的博客
03-17 390
Ahmad Muammar (y3dips@echo.or.id)提供了如下测试方法:http://localhost/fusion/fusion_admin/updateuser.phpWarning: main(fusion_langdiradmin/admin_members.php): failed to open stream:No such file or directory in /...
渗透测试-CMS网站数据库备份漏洞
道阻且长,行则将至
08-09 1863
背景环境 背景介绍 安全工程师"墨者"的朋友搭建一个emlog个人博客系统,为了确保该系统的安全性,请你检测该系统是否存在安全漏洞。 实训目标 1、了解验证码绕过的相关知识; 2、了解后台地址扫描及其他相关漏洞资料; 3、了解后台常用账户密码的利用方式; 解题方向 进入后台,找到后台中可利用的地方getshell。 攻击过程 墨者学院在线靶机(动态地址): http://219.153.49.2...
浅谈“备份文件泄漏”
→_→
07-11 2280
一:漏洞名称: 备份文件泄漏 描述: 备份文件泄露,在web服务中,尝尝不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑, 为展开其他类型的攻击提供 有利信息,降低攻击的难度,可以进一步获取其他敏感数据。简单的来说: 网站备份文件泄露指管理员误将网站备份文件或是敏感信息文件存放在某个网站目录下。 外部黑客可通过暴力破解文件名等方法下载该备份文件,导
漏洞学习DVP-2018-01321(严重信息泄露
Fly_鹏程万里
01-08 258
漏洞描述 : 漏洞URL: http://openapi.yobtc.cn/trace/、http://openapi.yobtc.cn/env、http://openapi.yobtc.cn/health等 简要描述: Spring Boot Actuator监控端点配置不当导致系统应用配置信息、度量指标信息泄露,其中trace路径下记录了最近的100条请求记录信息,请求信息中包含了用...
漏洞学习DVP-2018-00313(git信息泄露
Fly_鹏程万里
11-22 210
漏洞描述 https://forum.hitbtc.com/.git/config 该网站存在漏洞,虽然不能下载源代码,但是却可以清楚的知道该网站的所以文件路径。并且可以进行相应的查看。 通过上面的漏洞,下载.git文件夹下的index文件,可以看到文件列表并进行下载。这里我们发现了一个数据库文件,可以进行下载,下载的sql文件种包含用户名和密码,表结构等信息。用户信息有200多条。 ...
漏洞学习DVP-2018-01271(敏感信息泄露
Fly_鹏程万里
11-22 185
简要描述 存在未授权访问,直接访问用户所有信息 漏洞证明 https://www.asbtc.com//quenryClient/sys/getPageInfos.do?page=1&limit=100&email=&clientName=&tel=&status=&hz_key= 包含用户名,密码,邮箱,手机,身份证 拼接如: ...
精选资源
DVP-PLC-特殊功能模块技术手册
03-15
根据给定的文件信息,本手册详细介绍了DVP-PLC特殊功能模块的技术细节,涵盖从模拟输入模块到通讯模块等多方面的应用。以下为知识点的详细解读: 1. 模拟输入模块(DVP04AD/DVP06AD):模块负责将模拟信号(例如...
精选资源
DVP-EH-数字量模块
03-15
标题“DVP-EH-数字量模块”和描述“介绍了关于DVP-EH-数字量模块的详细说明,提供台达PLC的技术资料的下载”所涉及的知识点主要集中在台达电子(Delta Electronics)推出的DVP-EH系列数字量模块,这是台达PLC(可编程...
精选资源
台达PLC_DVP-ES3系列编程手册_装置的定义与指令.pdf
12-25
台达PLC_DVP-ES3系列编程手册主要聚焦于该系列PLC的装置定义与指令,这是一款由中达电通公司推出的可编程逻辑控制器,适用于自动化控制系统的编程和配置。DVP-ES3系列PLC具备丰富的功能和较高的性能,能够满足不同...
DVP-ES2/EX2系列台达PLC部件库
11-05
### DVP-ES2/EX2系列台达PLC部件库 #### 一、概述 在工业自动化领域,可编程逻辑控制器(Programmable Logic Controller,简称PLC)是核心设备之一,广泛应用于各种控制场景中。台达DVP-ES2/EX2系列PLC作为一款高...
漏洞学习DVP-2018-04149(SQL盲注+XSS)
Fly_鹏程万里
11-21 731
声明:该系列所揭示的漏洞目前厂家已经全部修复,此处发布相关的内容只为提供学习用途,请勿做其他恶意破坏。 漏洞证明: 一、SQL延时盲注: 官网地址:https://www.btwintrade.com 服务器令我无力吐槽,根本不敢用脚本跑,一跑就死,就做个简单的危害证明了。!!!审核大大在复现的时候,对数据库名称进行爆破的时候一定要使用单线程,千万千万别使用多线程,服务器会被直接跑...
漏洞学习DVP-2018-01393(聊天室XSS漏洞
Fly_鹏程万里
01-16 547
漏洞URL:http://new.funcoin.co/ 测试账号:1***************m 密码:t********6 漏洞说明: 登陆测试账号后,点击聊天室: 在聊天室中输入xss payload 刷新一下页面后,移动鼠标到M弹出 漏洞证明: 漏洞利用代码: <aonmouseover=alert(7)>M 修复方案: ...
漏洞学习DVP-2018-01423(XSS+任意用户密码重置)
Fly_鹏程万里
11-21 465
声明:该系列所揭示的漏洞目前厂家已经全部修复,此处发布相关的内容只为提供学习用途,请勿做其他恶意破坏。 一、存储型跨站攻击 1)进入平台账户=>财务管理=>资金账户=>添加一条资金账户信息(以添加ETH账户为例),填写资金账户信息,点击“提交”时抓包,添加攻击js代码: 2)提交后,查看前端页面被攻击效果: 查看浏览器加载内容: 3)XSS平台获取到被害者账...
漏洞学习DVP-2018-16101(假充值漏洞
Fly_鹏程万里
01-16 350
漏洞URL: https://www.mv.cool/ 简要描述: 此交易平台充值的时候给了用户一个手动输入检查充值hash 的选项,用户随意在区块上找一个hash可充值成功。造成任意充值。 漏洞证明: 漏洞利用代码: Test account : xxxxx@xxxxxxx.com Test Password:1xxxxxxxa 我刚注册的一个账户,证明可注册 hash...
漏洞学习DVP-2018-08529(绕过加密登陆任意用户)
Fly_鹏程万里
01-16 303
漏洞URL:https://eos.live/ 简要描述:验证码4位数没时间限制 sha256加密截取的4个字符 脚本加密截取即可 漏洞证明: https://eos.live/ 手机验证码登录4位数 这里验证码是加密的 0000是 b336 看了js是sha256加密 截取字符串第五位数开始截取4个字符 解密0000正好是b336 写个脚本循环0000-9999 ...
漏洞学习DVP-2018-01271(上传头像getshell)
Fly_鹏程万里
11-22 292
简要描述 上传前端验证,导致可以直接getshell 网址早在半月前已被他人getshell 漏洞证明 官网地址:https://www.asbtc.com 登录状态点击url:https://www.asbtc.com/client/init/info.page 点击修改头像 选择图片上传,得到如下请求包: 将文件后缀名改为jsp,内容改为一句话木马,发包: ...
DVP-5000M硬件系列用户手册:北京德威特电力保护监控装置
DVP-5000M系列是由北京德威特电力系统自动化有限公司推出的微机保护监控装置,这个系列包括了多种针对不同电力系统设备的保护装置,如DVP-5223M用于厂用变压器,DVP-5331M用于线路保护,DVP-5421M针对电容器,DVP-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值