代码泄露一般有SVN代码泄露及GIT代码泄露。例如在应用SVN管理方法当地代码全过程中,会自动生成一个名叫SVN的隐藏文件夹,在其中含有关键的代码信息。但一些企业在公布代码的情况下,立即拷贝代码文件夹名称到Web服务端,这就使SVN隐藏文件夹曝露于外网地址。网络攻击可利用该系统漏洞网站下载的代码,再从代码里得到数据库查询的联接登陆密码或是根据代码剖析更新的安全漏洞,进一步侵入系统软件。
此外,也是有很多的开发人员应用GIT开展版本管理及对网站开展全自动布署。假如配备不合理,很有可能会将GIT文件夹名称立即布署到网上自然环境,这就导致了GIT文档泄露。网络攻击可立即从泄露的代码中获得比较敏感配备信息(如电子邮箱及数据库查询等),还可以进一步财务审计代码,发掘上传文件及SQL引入等网络安全问题。
整体而言,代码泄露是开发人员安全防范意识不合格导致的。
例1:某站存有SVN代码泄露。开启浏览器,键入某站主网站域名/.svn/entries,Web服务端回到信息如图1所示。
图1 SVN代码泄露
由图1由此可见,这儿很有可能存有SVN代码泄露。网络攻击再次应用SVN代码泄露利用专用工具,如图2所示。
图2 SVN代码泄露利用工具
我们可以见到,Web文件目录构造早已出来,如图3所示。
图3 Web文件目录构造
数分钟后,代码就免费下载进行,开启index.php文件,能够看见是网络服务器代码并非HTML代码,如图4所示。
图4 网络服务器代码
由图4由此可见,这儿的确存有SVN代码泄露。这时,网络攻击就可以对该网站开展文件目录结构特征、比较敏感信息搜集(如数据库查询链接文件)或是代码财务审计,尝试找寻SQL引入、上传文件等系统漏洞执行进一步的网站渗透测试。
例2:某站存有GIT文档泄露。开启浏览器,键入某站主网站域名/.gitignore,Web服务端回到信息如图5所示。
图5 GIT文件上传
免费下载GIT文档,如图6所示。
图6 GIT文件泄露
能够看见,GIT文档中的內容实际上早已泄露了Web站点的代码的文件目录构造。浏览robots.txt文件,Web服务端回到信息如图7所示。
图7 GIT文档泄露
由图7由此可见,这儿的确存有GIT文档泄露。假如想根据该GIT文件上传该Web站点的代码,可以应用GitHack这一专用工具。