SVN(Subversion)作为源代码版本管理工具,若管理员操作不当,如直接复制包含.svn隐藏文件夹的代码至WEB服务器,可能导致源代码及敏感信息泄露。黑客能通过.svn/entries文件获取服务器源码、账号密码等,甚至直接访问源代码副本。
SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”(可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息)
更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。
建议删除指定SVN生成的各种文件
扫一扫
3331
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
