标签:.com dmi 发布 生成 隐藏文件 log url 技术分享 web服务器
web:
1.web萌新福利
没啥好说的,右键查看源码得key
2.you are not admin
一看题目,就想到http头修改,常见的x-forwarded-for,referer,host,client-ip,更改x-forwarded-for为127.0.0.1即可德key
3.简单的注入:
直接丢sqlmap,--dump即可。
4.萌新题目
svn泄露,算是一个源码泄漏的漏洞吧,直接在url后面加上.svn/entries即可暴露出源码。
关于SVN源码泄露漏洞:
不想慢慢敲字解释,在网上摘抄了一段话,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”
更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。
标签:.com dmi 发布 生成 隐藏文件 log url 技术分享 web服务器
原文地址:http://www.cnblogs.com/wfzWebSecuity/p/6201164.html
