信息泄露——源码备份(篇)

访客4年前黑客资讯1224

信息泄露——源码备份(篇)
· 源码备份概述:
(1)源码备份原本是为了开发者方便管理网站源码,方便开发者以后能够快速准确的管理源码。
(2)亦或者是为了预防被攻击者攻击网页后,能够让网站恢复数据。
· 源码泄露概述:
(1)网站源码,也称为源代码,源程序。是指未编译的文本代码或一个网站的全部源码文件。
(2)源码备份泄露指得是该目录没有设置访问权限时,便有可能导致源码备份文件或者数据库备份文件被轻易下载,导致敏感信息泄露,给服务器的安全埋下隐患。

(一)首先在网上找存在源码备份的网页
前端的源码里面包含了敏感信息,比如后台登录地址、数据库配置,甚至网页后台的账户密码等。

(二)源码泄露(网站路径穿透,任意文件下载,代码审计等)

(三)接着我们来进行代码审计(找数据库配置文件)

(四)找数据库文件:Mysql数据库,access数据库,SQLite数据库
有的网站管理员为了隐藏access数据库文件还会将mdb文件修改为ASA文件

(五)源码备份导致数据库泄露(网站后台账号密码泄露)攻击者可以进一步登录网站后台,在管理员的权限下进一步获取权限

(六)网页后台管理通常都拥有修改网页信息的功能如果攻击者恶意添加敏感词汇或者添加恶意链接、图片的话,将对企业形象造成破坏。

(七)攻击者可以获取网站数据库的信息,进一步加强了信息泄露的危险
在后台管理页面,如果存在上传模块,攻击者还可以利用上传木马文件来获取网站的shell

总结:
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。
敏感信息泄露虽然一直被评为危害比较低的漏洞,但这些敏感信息往往给攻击者实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。 因此,在web应用的开发上,除了要进行安全的代码编写,也需要注意对敏感信息的合理处理。

相关文章

谷歌面向盲人开发定位软件 谷歌开发高精确定位软件助力盲人

  Google朝向视障开发设计定位系统 Google开发设计高精准定位手机软件助推视障。Google将向墨尔本的佩金斯视障院校支助75万美金,开发设计“朝向视障的Waze运用”。与很多墨尔本住户一样...

如何调取我老公的微信聊天记录

. 夏天来了,让人难受的不仅仅是炎热的天气,还有那可恶的蚊子,好像无孔不入似的,搅的人心烦意乱的睡不着觉,太烦了。那么被蚊子咬了发朋友圈怎么说呢?友谊长存小编带来:被蚊子咬了发朋友圈的感慨说说 被...

安卓黑客网:Windows长途桌面服务长途指令履行缝隙(CVE-2019-1181/1182)

安卓黑客网:Windows长途桌面服务长途指令履行缝隙(CVE-2019-1181/1182) 一、[ 67.081887] task: ffff8801535dd880 t...

印尼海域发生3次5级以求黄网站看图上地震 无人员伤亡报告

  中新社雅加达1月7日电 (记者 林永传)据印尼气象、气候和地球物理局网站消息,当地时间7日凌晨至上午,该国三省海域先后发生3次5级以上地震,其中最高震级达6.4级。   当日凌晨零时28分,印尼...

找黑客查聊天记录被骗(黑客查询微信聊天记录)

我跟你讲个简单的道理哦!你自己的微信号,换部手机登入,经常还要验证一下对吧,然后进去了,有没有聊天记录?顶多就是最后聊天的那几句话有,有时候。 微信怎么查找全部聊天记录?相信很多人都有误删重要聊天记录...

京东商城暂停代购火车票 称有“改进”空间(图)

京东在其网址发公示称中止代购火车票业务流程。   中国新闻网4月7日电综合性报导,7日中午,京东在其网址发刊公示称,将临时终止代购火车票业务流程,但依然完全免费出示快速查询作用。   京东的公示称,...