zoukankan      html  css  js  c++  java
  • [web 安全] 源码泄露

    web 源码泄露
    1、.hg 源码泄露
    http://www.example.com/.hg/
    
    2、.git 源码泄露
    http://www.example.com/.git/config
    
    3、.ds_store 源码泄露
    http://www.example.com/.ds_store
    
    4、svn 源码泄露
    http:/www.example.com/.svn/entries
    
    5、cvs 源码泄露
    http://www.example.com/CVS/Root
    http://www.example.com/CVS/entries
    
    6、WEB-INF/web.xml 泄露
    /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
    /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
    /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
    /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
    /WEB-INF/database.properties:数据库配置文件
    
    7、备份文件泄露
    数据库备份、源码备份

    python简易脚本检测:

    # -*- coding: utf-8 -*-
    import requests
    
    URL = "http://www.example.com"
    URL_DICT = {'hg':['/.hg/'],'git':['/.git/config'],'ds_store':['/.ds_store'],'svn':['/.svn/entries'],'cvs':['/CVS/Root']};
    URL_BUG = []
    
    def request(url):
        try:
            r = requests.get(url,timeout=3)
            if r.status_code == 200:
                URL_BUG.append(url)
                print url + "...............................unsafe"
            else:
                print url + "...............................safe"
        except:
            print url,"...............................timeout"
    
    for k in URL_DICT:
            for i in range(len(URL_DICT[k])):
                url = URL+URL_DICT[k][i]
                request(url) 
    if URL_BUG:
        print URL_BUG
    else:
        print "not fund"

  • 相关阅读:
    九 .Django 管理后台(admin)
    四. 访问权限的使用和设计
    三 .复习python的 ORM 操作
    二 .python基于djago项目登录 ajax基本使用
    一 .python基于djago项目书籍管理
    二十六 .定时器(验证码)和短信(验证码)
    二十六 .ajax登录 认证 验证码(session)
    二十五 .Django---------auth认证组件
    二十四 .Django中间件
    【CF896C】Willem, Chtholly and Seniorious
  • 原文地址:https://www.cnblogs.com/natian-ws/p/7444358.html
Copyright © 2011-2022 走看看