github Github是目前全球最热门的在线协作网站,大量的程序员都会在Github上分享自己的代码以及协力进行软件开发。但与此同时,部分的程序员出于各种原因而没有删除所分享代码中的重要敏感信息,而被***利用与***系统。 危害 邮箱 svn信息 内部账号 git 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏目录,用来记录代码的变更记录等等。在发布代码的时候,把.git这个目录没有删除,直接发布了。使用这个文件,可以用来恢复源代码。 利用方法 https://github.com/lijiejie/GitHack
处理方法
删除.git 文件
拒绝对.git的访问
svn
Subversion,简称SVN,是一个开放源代码的版本控制系统,相对于的RCS、CVS,采用了分支管理系统,它的设计目标就是取代CVS。互联网上越来越多的控制服务从CVS转移到Subversion。
svn同样在项目根目录下会创建一个名为.svn的隐藏文件夹, 包含了所有分支commit信息和代码记录.
利用工具
1.wget -r --no-parent --mirror http://www.example.com/.svn
cd www.example.com && svn revert --recursive .
2.https://github.com/kost/dvcs-ripper
3.Seay-Svn
修复
设置SVN密码,并将匿名访问用户的权限设置为none。
发布代码时使用svn export导出,而不要使用svn co检索,防止泄露目录结构。
Apache:
<Directory ~ ".svn">
Order allow,deny
Deny from all
</Directory>
Nginx: location ~ ^(.*)/.svn/ { return 404; }
.ds_store .DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。 如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。 利用工具 https://github.com/lijiejie/ds_store_exp
修复 sudo find / -name ".DS_Store" -depth -exec rm {} ;
.hg
Mercurial 是一个 版本控制系统. 开发者可以用它来管理源代码.
hg在初始化代码库的时候,会在当前目录下面产生一个.hg的隐藏文件
利用工具
https://github.com/kost/dvcs-ripper
rip-hg.pl -v -u http://www.example.com/.hg/
修复
删除。hg文件
.bzr
Bazaar-NG 是个分散式版本控制系统,旨在易于开发人员和最终用户的使用。分散式版本控制系统采用了 集市开发模型 ,可让人们通过互联网进行协作。如果使用 Bazaar-NG,您就可以向最喜欢的自由软件项目提交自己的分支,同时无需特殊权限。
利用工具
https://github.com/kost/dvcs-ripper
cvs TortoiseCVS 是一款项目管理工具,一般用在IT行业,有服务器版和客户端版,在客户机上装了CVS,能够从服务器上迁出数据 。是Windows平台上最最简单最最方便的CVS工具,TortoiseCVS的特点就是完全结合到资源管理器的鼠标右键菜单中进行操作,异常简单和方便。cvs的一个windows客户端程序,功能当然是实现cvs的一些操作。CVS是指并发版本系统(Concurrent Versions System) 利用工具 https://github.com/kost/dvcs-ripper rip-cvs.pl -v -u http://www.example.com/CVS/ 修复 删除
web-INF WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问
网站备份 zip、sql、rar、swp、phpinfo相关的压缩文件
