网站源码泄露

管理员将网站源代码备份在Web目录下，攻击者通过猜解文件路径，下载备份文件，导致源代码泄露。

常见的备份文件后缀：

.rar
.zip
.7z
.tar.gz
.bak
.txt
.old
.temp

通过对网站进行web漏洞扫描，直接利用爬虫来爬取网站可能存在的路径以及链接，如果存在备份文件，则可通过web直接进行下载。

也可以通过自行构造字典，对网站某一目录下，指定字典进行爆破，常见的扫描工具有wwwscan、御剑后台扫描工具等。

根据域名生成域名相关的扫描备份文件工具：
https://github.com/v01cano/dirsearch-backup
https://github.com/bufsnake/blueming

1、 网站管理员严格检查web中可访问的路径下是否存在备份文件，常见备份文件后缀为.jsp.bak、.bak、.sql、.txt、等等。如果有这些文件，直接将该备份文件进行转移到其他目录或者直接删除即可。
2、 严格控制可网站可访问目录下的文件敏感度的存放问题，不要将敏感文件置于该目录。

Last updated 4 years ago

Was this helpful?