加入收藏 | 设为首页 | 会员中心 | 我要投稿 晋中站长网 (https://www.0354zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 服务器 > 安全 > 正文

谈谈源码泄露 · WEB 安全

发布时间:2022-10-17 18:30:32 所属栏目:安全 来源:转载
导读:
本文来自作者汤青松在GitChat上分享 「谈谈源码泄露 · WEB 安全」,「阅读原文」查看交流实录。
「文末高能」
编辑 | 哈比
一、漏洞成因
在 WEB 安全体系当中,可能你对 SQL 注入,XSS 跨

网站安全代码_全景网站后台代码网站_网站字体滚动代码网站

本文来自作者汤青松在GitChat上分享 「谈谈源码泄露 · WEB 安全」,「阅读原文」查看交流实录。

「文末高能」

编辑 | 哈比

一、漏洞成因

在 WEB 安全体系当中,可能你对 SQL 注入,XSS 跨站一些漏洞已经耳熟于心了,而源码泄露问题对于大部分开发者来说就相对陌生了 , 而源码泄露导致的问题却并不少见,在过往的泄露案例当中,不仅是小网站有此问题,在一些大的厂商同样出现不少,并因此拿到 webshell。

比如在一些小型企业,可能公司并没有专门的服务器,而是把网站部署在某一个虚拟主机上面,代码文件比较多的时候 FTP 上传是比较慢的,于是开发者把代码先打包压缩后再上传,上传成功后再去服务器解压,这有虽然解决了上传速度慢的问题,不过却留下了一些安全隐患。

压缩包解压后如果没有删除,当攻击者发现后就可以把代码压缩包下载;因为部署到服务器上的都是源代码,这个时候攻击者就可以通过代码进一步挖掘一些安全漏洞:文件上传,SQL 注射等。

二、GIT 源码泄露1. 漏洞成因

当在一个空目录执行 git init 时,Git 会创建一个 .git 目录。 这个目录包含所有的 Git 存储和操作的对象。 如果想备份或复制一个版本库,只需把这个目录拷贝至另一处就可以了。

该目录的结构如下所示:

HEAD config* description hooks/ info/ objects/ refs/

在这些结构中 description 文件仅供 GitWeb 程序使用,我们可以无需关心。

而在剩下的四个条目很重要:

而在发布代码的时候,如果没有把 .git 这个目录删除,直接发布到了运行目录中。攻击者就可以通过这个文件夹,可以用来恢复源代码。

http://www.localhost.test/.git/config

通常会用到的利用工具 GitHack ,这个工具下载下来之后操作也特别简单。

GitHack.py ? ?http://www.localhost.test/.git/

它能解析 .git/index 文件,并找到工程中所有的:文件名和文件 sha1,然后去 .git/objects/ 文件夹下下载对应的文件,通过 zlib 解压文件,按原始的目录结构写入源代码。

2. GIT 源码泄露 案例

2015 年 5 月,乌云白帽子 “lijiejie” 提交漏洞 “大众点评某站点 git 泄漏源代码”,缺陷编号:wooyun-2015-0117332

在此次案例当中,白帽子发现 URL( )可以访问,于是通过工具 githack 下载里面的文件,下面为 githack.py 执行中的截图:

网站安全代码_全景网站后台代码网站_网站字体滚动代码网站

源码被下载下来之后,白帽子打开其中的一个代码文件可以看到里面的源码:

全景网站后台代码网站_网站安全代码_网站字体滚动代码网站

三、SVN 导致文件泄露1. 漏洞成因

SVN 是 Subversion 的简称,是一个开放源代码的版本控制系统,相较于 RCS、CVS,它采用了分支管理系统,它的设计目标就是取代 CVS。互联网上很多版本控制服务已从 CVS 迁移到 Subversion。

很多网站都使用了 svn 版本控制系统,和使用 git 版本控制器类似,很多开发者网站安全意识不足,代码放到生产坏境中后,没有清理 svn 的一些信息,导致 svn 残留,因此攻击者可以使用工具 dvcs-ripper 下载网站源码。

此工具的 Github 地址:。

利用命令如下:

rip-svn.pl -v -u http://www.localhost.test/.svn/

2. SVN 源码泄露案例 案例

2015 年 10 月,乌云白帽子提交漏洞 “我爱我家某处源码泄露”。缺陷编号:wooyun-2015-0149331

在我爱我家有一处域名为 data.5i5j.com , 白帽子发现下面的地址可以访问到:

http://data.5i5j.com/sitemetrics/.svn/entries

白帽子知道使用 svn 版本控制器会在目录中生成 .svn 文件夹,于是猜测该处存在源码泄露问题,于是使用工具 dvcs-ripper 对其进行了一番验证,验证证实了最初的猜测,并得出了下面的目录以及代码文件。

网站安全代码_全景网站后台代码网站_网站字体滚动代码网站

在文件目录中,发现一个文件名比较敏感,对其打开查看发现里面包含了数据库地址,用户名,密码等信息。

网站安全代码_网站字体滚动代码网站_全景网站后台代码网站

四、DS_Store 文件泄漏1. 漏洞成因

.DS_Store 文件 MAC 系统是用来存储这个文件夹的显示属性的:比如文件图标的摆放位置。如果用户删除以后的副作用就是这些信息的失去。

这些文件本来是给 Finder 使用的,但它们被设想作为一种更通用的有关显示设置的元数据存储,诸如图标位置和视图设置。 当你需要把代码上传的时候,安全正确的操作应该把.DS_Store文件删除才正确。

因为里面包含了一些目录信息,如果没有删除,攻击者通过.DS_Store可以知道这个目录里面所有文件名称,从而让攻击者掌握了更多的信息。

在发布代码时未删除文件夹中隐藏的 .DS_store,被发现后,获取了敏感的文件名等信息。攻击者可以利用访问 URL( )的方式来判断,是否存在DS_store泄露,如果存在泄漏,使用工具:dsstoreexp,就可以轻松的下载出源代码。

如下面的命令:

ds_store_exp.py http://www.localhost.test/.DS_Store

2. .DS_Store 泄露 案例

2015 年 9 月,乌云白帽子 “深度安全实验室” 提交漏洞 “TCL 某网站 DS_Store 文件泄露敏感信息(谨慎使用 Mac 系统)”,缺陷编号:wooyun-2015-091869

在 TCL 可视化系统事业部网站中,把苹果的隐藏文件 DS_Store 也给搬到生产坏境中 , 导致泄露了目录结构,从而获取到后台管理页面以及数据库文件。打开文件 可以看到下面的内容。

网站安全代码_网站字体滚动代码网站_全景网站后台代码网站

通过图中的内容可以看到两处比较敏感的文件,tel_manage.php 以及 tcl_cctv.sql。于是白帽子通过此处泄露的信息,猜测到网站后台地址为:

http://www.tcl-cctv.com/tcl_manage.php

以及数据库文件 URL:

http://www.tcl-cctv.com/tcl_cctv.sql

打开数据库文件对应的 URL,在其中可以找到后台管理员账户和密码:

全景网站后台代码网站_网站安全代码_网站字体滚动代码网站

用户名:admin 密码:c5b5ae8bdfccc8beefec ,通过 cmd5.com 解密后,可以得到真实的密码。

网站字体滚动代码网站_网站安全代码_全景网站后台代码网站

在后台 URL 中,输入账号密码,可以看见下图已经登录成功。

全景网站后台代码网站_网站安全代码_网站字体滚动代码网站

五、网站备份压缩文件1. 漏洞成因

在网站的升级和维护过程中,通常需要对网站中的文件进行修改。此时就需要对网站整站或者其中某一页面进行备份。

当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露网站安全代码,给服务器的安全埋下隐患。

该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问的目录下。

该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载,利用。源代码中所包含的各类敏感信息,如服务器数据库连接信息,服务器配置信息等会因此而泄露,造成巨大的损失。

被泄露的源代码还可能会被用于代码审计,进一步利用而对整个系统的安全埋下隐患。

.rar ? .zip ?.7z ? .tar.gz ? .bak ? ?.swp ? .txt

2. 备份压缩文件 案例

2014 年 5 月,乌云白帽子 “Noxxx” 提交漏洞 “百度某分站备份文件泄露”,缺陷编号:wooyun-2014-050622

百度网盟的 URL 地址是:

http://wm123.baidu.com

白帽子无意中发现在 URL 加上域名 +.tar.gz 也就是 URL:

http://wm123.baidu.com/wm123.tar.gz

没想到就下载了网站源码;在其源码中还发现了数据库的链接地址,以及账号信息,如下图:

网站安全代码_全景网站后台代码网站_网站字体滚动代码网站

六、WEB-INF/web.xml 泄露1. 漏洞成因

WEB-INF 是 Java 的 WEB 应用的安全目录。该目录原则上来说是客户端无法访问,只有服务端才可以可以访问。如果想在页面中直接访问其中的文件,必须通过 web.xml 文件对要访问的文件进行相应映射才能访问。

WEB-INF 主要包含一下文件或目录:

不过在一些特定的场合却会让攻击者能读取到其中的内容,从而造成源码泄露。

2. WEB-INF 目录配置漏洞 案例

2013 年 2 月,乌云白帽子 “Asuimu” 提交漏洞 “华为官网 WEB-INF 目录配置文件导致信息泄露”,缺陷编号:wooyun-2013-022906

在该漏洞中由于目录权限未做好控制,导致网站配置信息泄露以及源码泄露问题。

此漏洞的 WEB-INF 目录位置 URL 为:

http://enterprise.huawei.com/topic/hcc/WEB-INF/

白帽子首先寻找配置文件(web.xml)的位置,通过 web.xml 的位置得到 URL 为:

http://enterprise.huawei.com/topic/hcc/WEB-INF/web.xml

全景网站后台代码网站_网站安全代码_网站字体滚动代码网站

访问 URL 后,能看到如上图中的内容,白帽子发现有一个 classes/applicationContext.xml 文件;访问此文件对应的 URL 后,又从此文件中中找到了数据库配置文件 db-config.xml 的路径。

网站安全代码_网站字体滚动代码网站_全景网站后台代码网站

打开 db-config.xml 对应的 URL 后,能看到 mysql 的连接信息,比如 root Huawei!2012 localhost 等等信息。不过因为数据库限制只能本地连接,所以白帽子并没有连接上数据库。

网站字体滚动代码网站_全景网站后台代码网站_网站安全代码

通过此漏洞还下载了部分源码,比如 URL:

http://enterprise.huawei.com/topic/hcc/login.jsp

对应下图中的源码:

网站安全代码_全景网站后台代码网站_网站字体滚动代码网站

七、防御方案

从上面的五种泄露方式可以看出,大部分情况都是代码上传后没有及时清理附带信息所造成的。

因此我建议代码发布尽量使用工具 rsync 来发布,因为此工具同步时可以排除一些目录或者文件,比如要排除所有 .svn 文件,可以如下面的命令行来排除,git 同理。

rsync -avlH --exclude=*.svn ?root@192.168.1.100:~/tmp/ ?/data/version/test/

如果不能生产坏境不能使用 rsync,也给大家几点小建议:

Git 在仓库的根目录新建一个文件夹,把代码放入此文件夹中,网站的根目录应该指向此文件夹。这样攻击者就不能访问到 .git 文件夹的内容了。

不要直接使用 git 或 SVN 等工具拉去代码到生产目录,可以在一个临时目录先拉去下来,把其中的一些版本控制器附带信息都去掉后再同步到生产目录。

使用 mac 系统的开发者需要注意不要把 .ds_store 文件上传上去,因为里面包含在一些目录信息,会导致文件名称泄露

Web 生产目录中不要存放代码压缩文件,这些文件极有可能被攻击者所发现,而下载下来。

近期热文

《》

《》

《》

《》

《》

《》

《》

全景网站后台代码网站_网站字体滚动代码网站_网站安全代码

(编辑:晋中站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!