标签：web xxxxxx 信息 源码 https dirmap 泄露

web信息泄露相关内容

基本操作

0,打开相关网站查看信息
1,右键查看网页源代码观察信息
2,F12打开开发者工具观察信息，查看有无js前台拦截
4,尝试bp抓包，看看请求和响应报文
6,扫描网站，dirmap，dirsearch，御剑都是不错的选择

相关注释未删除

网站作者在开发时一些敏感的注释未删除，容易导致用户名，密码等相关信息泄露

源码泄露

网站源代码出现泄露
1,phps源码泄露

https://xxxxxx/index.phps/

2,Git源码泄露

https://xxxxxx/.git/

3,svn源码泄露

https://xxxxxx/.svn/

4,hg源码泄漏

https://xxxxxx/.svn/.hg/

5,bzr泄露

https://xxxxxx/.bzr/

文件泄露

1,swp文件泄露

https://xxxxxx/.swp/
https://xxxxxx/index.php.swp/

2,DS_Store文件泄露

https://xxxxxx/.DS_Store/

3,zip源码泄露

https://xxxxxx/www.zip/

其他泄露

1,robots.txt中隐藏信息

https://xxxxxx/robots.txt/

2,cookie中含有信息
利用bp抓包或者F12在network中看cookie相关信息

3，通过dns检查
访问 https://zijian.aliyun.com/ ，查看网站相关信息

4,bak备份泄露

https://xxxxxx/index.php.bak/

5,备份sql文件泄露

https://xxxxxx/backup.sql/

其他操作

社会工程，简单密码爆破，密码猜解，谷歌搜索等等

Dirmap使用

cd到dirmap所在文件夹下使用cmd命令行

python dirmap.py -i https://xxxxxx/ -lcf

最后

其实只要善于发现，总能找到漏洞，而且漏洞无处不在！

标签：web,xxxxxx,信息,源码,https,dirmap,泄露
来源： https://www.cnblogs.com/wysngblogs/p/15940304.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。