Vi非正常退出导致敏感信息泄露

最新推荐文章于 2025-03-29 19:34:36 发布
转载 最新推荐文章于 2025-03-29 19:34:36 发布 · 176 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/436373

本文讨论了服务器处理.swp文件可能带来的安全漏洞。当服务器不解析.swp文件且对未知格式直接输出时,可能会暴露敏感信息。文章记录了一次尝试利用此漏洞的经历,并计划后续改进相关工具。
  http://bbs.xxx.com/.config.inc.php.swp

刚看到 toby57 在博客提到,之前有留意过。这个漏洞的利用前提是。服务器不解析.swp 。且未知格式会直接输出,才会这样,最近有看到过几个这种网站。不过基本失败。。

mark下。回头改进工具 














本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/520130,如需转载请自行联系原作者

Securely Connecting Remote SSH Clients to a Linux Server
AI天才研究院
08-03 831
2019年,随着互联网的飞速发展、云计算、大数据等新兴技术的广泛应用,远程办公越来越成为日常工作中不可或缺的一环。无论是IT部门还是非IT部门的人士都在频繁的接触到远程SSH客户端连接Linux服务器这一功能,因为它提供了很多便捷的管理工具和服务。然而,如何保障远程SSH连接的安全性、隐私性及顺畅性成为了一个难题。今天,我将给大家介绍一种比较安全且可靠的方式,即通过VPN或者Wireguard建立加密隧道进行远程SSH客户端的安全连接。本文将从以下几个方面进行阐述:1.什么是VPN?
Apache HTTP 过滤器filter、开源WAF(ModSecurity)、Apache 模块开发
西京刀客
03-08 3118
在编写Apache模块时,需要具备C或C++编程经验和对Apache Web服务器的基本了解。另外,需要参考Apache的文档和API参考手册来编写代码和构建模块。
CTFHub 之web-vim信息泄露
qq_40317852的博客
11-27 2685
3.vim缓存 (1)知识补充   vim 交换文件名 在使用vim时会创建临时缓存文件,关闭vim时缓存文件则会被删除,当vim异常退出后,因为未处理缓存文件,导致可以通过缓存文件恢复原始文件内容   以 index.php 为例:第一次产生的交换文件名为 .index.php.swp   再次意外退出后,将会产生名为 .index.php.swo 的交换文件   第三次产生的交换文件则为 .index.php.swn (2)题解 将缓存文件下载下来,使用vim编辑原有文件,例如下载的.index.p
CISP-PTS满分考题全解,零基础入门到精通,收藏这篇就够了
leah126的博客
10-09 1974
本篇文章为国测中心认证的渗透专家模拟考题全解,以真实的考试环境及操作机为例,并且详细讲解各种答题技巧及注意事项,如果你详细阅读理解了该文章,考PTS将手到擒来!!![手动狗头.jpg]靶机数量:6(基础题4,综合题2)总分:100(基础题40,综合题60)KEY数:10(基础题4,综合题6)每个KEY为10分,基础题每个靶机1个KEY,综合题每个靶机3个KEY考试整体难度:★★★☆☆ 3星。
七、信息泄露[git、vim]
黑日里不灭的light
10-23 1017
解释:Git信息泄露是指通过公开或错误地配置版本控制系统Git,导致敏感数据(例如API密钥、数据库密码、个人信息等)被泄露到公共代码仓库或其他未授权的访问者手中。通俗来说,在公网暴露类似(将.git目录直接被人访问)将会导致源码被人下载查看到。
配置文件config.inc.php参数说明
KylinBL的专栏
03-21 4272
$CFG['db_host'] 数据库服务器,可以包括端口号,一般为localhost $CFG['db_user'] 数据库用户名,一般为root $CFG['db_pass'] 数据库密码 $CFG['db_name'] 数据库名称 $CFG['db_charset'] 数据库连接字符集 $CFG['database'] 数据库类型,默认为mysql
【Linux数据安全】:vi_vim退出技巧全攻略,防止数据丢失
[【Linux数据安全】:vi_vim退出技巧全攻略,防止数据丢失](https://huy.rocks/api/image?t=MDIuMTUuMjAyMiAtIFZpbS9SZWNvcmQgYW5kIFJlcGxheSBNYWNybw==) # 1. Linux文本编辑器vivim概述 Linux 系统中,文本编辑...
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
移动云产品工作记录
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
02-02 2万+
背景 记录移动云相关理解和记录 初认识 1、移动云全家桶 2、云主机 云主机是一种按需获取的云端服务器,为您提供高可靠、弹性扩展的计算资源服务,您可以根据需求选择不同规格的CPU、内存、操作系统、硬盘和网络来创建您的云主机。云主机从订购到开通使用仅需数分钟时间。云主机服务可用性达到99.95%,云主机备份数据以多副本形式保存,数据可靠性可达99.9999999%。 规格: vCPU / 内存比为1:1、1:2、1:4、1:8,从“1核2G”到“80核1280G”;采用2.3GHz主频的Intel
Vim 配置安全深度解析:从文件泄露到 RCE 的攻防实践
最新发布
m0_57836225的博客
03-29 464
Vim 作为开发者核心工具,其安全配置直接影响系统全局。建议企业将编辑器安全纳入。
config.inc.php配置文件介绍
ps4nanari的专栏
12-31 1750
//数据库配置信息    define('DB_HOST', 'localhost'); //数据库服务器主机地址    define('DB_USER', 'root'); //数据库帐号    define('DB_PW', 'root'); //数据库密码    define('DB_NAME', 'phpcmsutf'); //数据库名    define('DB_PRE', '
vi配置文件非正常关闭问题解决方式
lg_1996的博客
11-16 646
原因:vi没有正常打开配置文件,一般是上次操作未正常关闭配置文件导致的 解决方式:在当前文件夹下执行 ls -la,删除当中的.配置文件.swp---->rm .删除当中的.配置文件.swp ...
01-vim编辑器崩溃生成.swp交换文件
热门推荐
不吃香菜的颜曦
12-17 4万+
01-vim编辑器崩溃生成.swp交换文件 报错复盘: 报错原因: 这是因为,在用vim打开一个文件时,其会产生一个filename.swap文件,用于保存数据,当文件非正常关闭时,可用此文件来恢复,当正常关闭时,此文件会被删除,非正常关闭时,不会被删除 ls -a /etc/ssh/ 解决方法 方法一: vim -r /etc/ssh/sshd_config #恢复上次异常退出的文件 方法二: rm -rf /etc/ssh/.sshd_config.swp #直接删除swp交换文件(
Vim中的swp文件
云计算?
12-29 288
vim中的swp即swap文件,在编辑文件时产生,它是隐藏文件,如果原文件名是data,那么swp文件名就是.data.swp。如果文件正常退出,则此文件自动删除。以下两种情况不会删除swp文件: 1、Vim非正常退出,这种情况下,除非手动删除swp文件(也可以在vim提示时删除),否则它会一直存在。 2、多个程序同时编辑一个文件。 可用vim带-r参数编辑 #vim -r data 然...
php源代码被公开漏洞,关于简单的php源代码泄露漏洞的发掘
weixin_32096149的博客
03-09 994
我们知道在asp中出现得最多的还是sql注入,不过在php中由于magic_quotes_gpc为on的情况下特殊字符会被转义,所以即使有很多时候存在sql注入也无法利用。但是php强大的文件操作功能却使我们能体会到在asp中无法体会的乐趣,我想php自带的文件操作函数能让你为之心跳加快~~嘿嘿这次我发掘的是phpcms2007的源代码泄露漏洞再次向Phpcms2007的开源行为致敬!!开始吧,f...
vim产生的备份文件和临时文件
weixin_30571465的博客
05-06 792
一、vim备份文件 默认情况下使用Vim编程,在修改文件后系统会自动生成一个带~的备份文件,某些情况下可以对其下载进行查看; eg:index.php普遍意义上的首页,输入域名不一定会显示。 它的备份文件则为index.php~二、vim临时文件 vim中的swp即swap文件,在编辑文件时产生,它是隐藏文件,如果原文件名是submit,则它的临时文件submit.swp...
vi cnfig.inc.php,Nginx上安装phpMyAdmin
weixin_33695092的博客
04-09 135
前提:首先要完成安装 nginx+php+php-fpm+mysql,参考文档: http://www.tudaxia.com/archives/722一、 准备工作:1. 如果mysql的root账号为空,需要设置root密码CentOS下默认安装的mysql服务器,里面的root账号默认密码为空,首先为root设置一个密码#mysqladmin -u root password yourpas...
CTFHub技能树 Web-信息泄露 vim缓存
Senimo
12-22 2656
CTFHub技能树 Web-信息泄露 vim缓存 hit:当开发人员在线上环境中使用 vim 编辑器,在使用过程中会留下 vim 编辑器缓存,当vim异常退出时,缓存会一直留在服务器上,引起网站源码泄露。 启动环境: 提示了flag在index.php页面的源码中,并提示了是vim缓存漏洞 访问/.index.php.swp,下载index.php的swp文件: 使用vim恢复.swp文件: vim -r index.php.swp 恢复swp文件后,得到源码: flag在源码中。 ...
j'son敏感信息泄露
12-29
### 关于JSON敏感信息泄露的问题及解决方法 #### JSON敏感信息泄露的风险分析 在Web应用程序中,JSON(JavaScript Object Notation)常用于前后端的数据交互。由于其简洁性和易读性,开发者有时会在JSON响应中无意间暴露过多的信息,这些信息可能包括但不限于用户的个人信息、会话令牌、API密钥等。 当发生异常时,如果不恰当地捕获和处理异常,可能会导致未经过滤的堆栈跟踪或其他内部状态被发送给客户端[^1]。这种情况下,攻击者可以利用错误消息中的细节来推测系统的结构和技术实现,进而策划更深入的攻击。 #### 解决方案概述 为了防止因不当的错误处理而导致敏感信息泄露,在设计阶段就应该遵循良好的实践原则: - **自定义全局异常处理器**:创建统一的异常捕捉机制,确保所有的异常都被拦截,并只向外部用户提供友好的提示而非详细的错误日志。 ```java @ControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(Exception.class) public ResponseEntity<String> handleException() { return new ResponseEntity<>("An unexpected error occurred", HttpStatus.INTERNAL_SERVER_ERROR); } } ``` - **过滤返回给前端的内容**:无论是正常业务逻辑还是异常情况下的反馈,都应当严格控制输出到HTTP响应体内的数据范围,去除不必要的字段或属性。 - **启用HTTPS协议**:采用SSL/TLS加密通信渠道,保护传输过程中的隐私资料免受中间人窃听威胁[^4]。 - **定期审查代码库**:查找潜在的安全隐患点,特别是那些涉及个人身份验证凭证的地方;同时也要关注第三方依赖项是否存在已知漏洞。 - **实施最小权限原则**:仅授予必要的访问权给各个组件和服务接口,减少一旦某个部分失陷所能造成的损害程度。 - **对敏感数据进行加密脱敏**:即使是在内部网络环境下传递重要参数之前也应该先对其进行转换操作,比如哈希化或者AES算法加密后再存入数据库表单里保存起来[^3]。 #### 实际案例说明 假设有一个RESTful API服务负责提供用户账户详情,但不幸的是它直接把整个对象序列化成了JSON字符串传回去了——这显然不是一个明智的做法! ```json { "id": 1, "username": "admin", "passwordHash": "$2a$10$vI8aWBnW3fID.ZQ4/zo1G.qMjZgRTKowghYEYvaq1PIPSDL/M7wP6", "email": "support@example.com" } ``` 正确的做法应该是构建一个新的DTO (Data Transfer Object),只保留真正需要共享的部分作为最终呈现形式的一部分: ```json { "userId": 1, "userName": "admin", "contactEmail": "support@example.com" } ``` 这样做不仅提高了安全性,还使得API更加清晰直观易于理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值