[web 安全] 源碼泄露

web 源碼泄露
一、.hg 源碼泄露
http://www.example.com/.hg/

二、.git 源碼泄露
http://www.example.com/.git/config

三、.ds_store 源碼泄露
http://www.example.com/.ds_store

4、svn 源碼泄露
http:/www.example.com/.svn/entries

5、cvs 源碼泄露
http://www.example.com/CVS/Root
http://www.example.com/CVS/entries

六、WEB-INF/web.xml 泄露
/WEB-INF/web.xml:Web應用程序配置文件,描述了 servlet 和其餘的應用組件配置及命名規則。
/WEB-INF/classes/:含了站點全部用的 class 文件,包括 servlet class 和非servlet class,他們不能包含在 .jar文件中
/WEB-INF/lib/:存放web應用須要的各類JAR文件,放置僅在這個應用中要求使用的jar文件,如數據庫驅動jar文件
/WEB-INF/src/:源碼目錄,按照包名結構放置各個java文件。
/WEB-INF/database.properties:數據庫配置文件

7、備份文件泄露
數據庫備份、源碼備份

python簡易腳本檢測:java

# -*- coding: utf-8 -*-
import requests

URL = "http://www.example.com"
URL_DICT = {'hg':['/.hg/'],'git':['/.git/config'],'ds_store':['/.ds_store'],'svn':['/.svn/entries'],'cvs':['/CVS/Root']};
URL_BUG = []

def request(url):
    try:
        r = requests.get(url,timeout=3)
        if r.status_code == 200:
            URL_BUG.append(url)
            print url + "...............................unsafe"
        else:
            print url + "...............................safe"
    except:
        print url,"...............................timeout"

for k in URL_DICT:
        for i in range(len(URL_DICT[k])):
            url = URL+URL_DICT[k][i]
            request(url) 
if URL_BUG:
    print URL_BUG
else:
    print "not fund"

相關文章
相關標籤/搜索