常见Web源码泄露总结

常见Web源码泄露总结

1. 源码泄露分类

• 版本控制系统造成的文件泄露
• .DS_Store
• 配置文件泄露
• 网站备份文件泄露

2. .hg源码泄漏

2.1. 漏洞信息

Mercurial 是一个版本控制系统，一种轻量级分布式版本控制系统，采用 Python 语言实现，开发者可以用它来管理源代码。hg在初始化代码库的时候，会在当前目录下面产生一个.hg的隐藏文件夹
删除.hg

2.2. 漏洞利用

工具：
dvcs-ripper

下载地址：
https://github.com/kost/dvcs-ripper

工具使用方法
rip-hg.pl -v -u http://www.example.com/.hg/

2.3. 漏洞修复

删除web目录中所有.hg隐藏文件夹

3. .git源码泄漏

3.1. 漏洞信息

在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候，把.git这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码。

3.2. 漏洞利用

工具：
GitHack

下载