信息泄露——源码备份(篇)
· 源码备份概述:
(1)源码备份原本是为了开发者方便管理网站源码,方便开发者以后能够快速准确的管理源码。
(2)亦或者是为了预防被攻击者攻击网页后,能够让网站恢复数据。
· 源码泄露概述:
(1)网站源码,也称为源代码,源程序。是指未编译的文本代码或一个网站的全部源码文件。
(2)源码备份泄露指得是该目录没有设置访问权限时,便有可能导致源码备份文件或者数据库备份文件被轻易下载,导致敏感信息泄露,给服务器的安全埋下隐患。
(一)首先在网上找存在源码备份的网页
前端的源码里面包含了敏感信息,比如后台登录地址、数据库配置,甚至网页后台的账户密码等。
(二)源码泄露(网站路径穿透,任意文件下载,代码审计等)
(三)接着我们来进行代码审计(找数据库配置文件)
(四)找数据库文件:Mysql数据库,access数据库,SQLite数据库
有的网站管理员为了隐藏access数据库文件还会将mdb文件修改为ASA文件
(五)源码备份导致数据库泄露(网站后台账号密码泄露)攻击者可以进一步登录网站后台,在管理员的权限下进一步获取权限
(六)网页后台管理通常都拥有修改网页信息的功能如果攻击者恶意添加敏感词汇或者添加恶意链接、图片的话,将对企业形象造成破坏。
(七)攻击者可以获取网站数据库的信息,进一步加强了信息泄露的危险
在后台管理页面,如果存在上传模块,攻击者还可以利用上传木马文件来获取网站的shell
总结:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。
敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击者实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。 因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。
随着北京爱狄特业务规模的不断扩大,iAMS产品研发团队规模也在水涨船高。新同事带来了新的战斗力,而学习和磨合也是不可或缺,趁着新鲜劲还热乎着,就赶紧给程序员们来了一次关于软件设计开发经验的培训会。...
文章转载自:香港地产资讯网 青衣相隔15年再有新盘翘汇料下月出击最细299呎 本港持续出现暴力示威,未阻发展商推盘步伐。青衣区15年来再有私宅项目面世,来自佳明集团,最新命名为明翘汇,预期8月...
sudo apt-get update一个 chunk 结构里界说了 chunk 的类型、开端方位、完毕方位、表明是否被修正的标志位、以及 chunk 的子节点和 next 节点。 目录黑客接单诈骗,...
本文导读目录: 1、3分钟黑掉阿里的“黑客男孩”,马云给500万年薪,现在怎么样了? 2、黑客面试黑掉公司后台,却让马云开出500万薪资,这个事情是真的吗? 3、年薪500万,被马云称为“阿里...
先看下什么是作提纲? 提纲即指写作、发言、学习、研究、讨论等内容的要点。 作文提纲是写作文时作文构思阶段从整体上对作文的设计,编写作文提纲要按照写作文的三个顺序:审清题目、确立中心、选择材料来进行...
今天在申请微信公众号认证公函的时候点击 公函下载 就是不起作用,我用的是chrome浏览器,原来是因为chrome浏览器默认是屏蔽弹出新页面的,需要设置允许打开新页面就可以了。 具体的设置方法:...