今天i春秋有幸邀请到一位挖洞经验丰富的白帽表哥,为大家分享关于敏感文件泄露漏洞及防御措施的知识点。
知识点分享通过公开课的形式呈现给大家,共分为:版本管理软件造成的泄露、配置文件泄露、备份文件泄露、防御方法等四个模块内容,深度学习敏感文件泄露漏洞!
讲师介绍
昵称:fatmo,一个开发经验丰富的“老司机”。
擅长:Web前/后端开发、PHP代码审计、独自审计出0day漏洞。
课程介绍
本期公开课面向刚接触Web安全的白帽子、信息安全从业者、网络安全爱好者,旨在帮助大家快速了解敏感文件泄露漏洞。
敏感文件泄露是经常被厂商忽视却又隐患无穷的漏洞,黑客利用敏感文件漏洞可轻易获得程序源码、管理员账号密码甚至用户的隐私信息,破坏威力巨大。
感兴趣的小伙伴,识别二维码立即看课
PS:Web端看课体验更佳,看课地址:
https://www.ichunqiu.com/open/68673
看点前瞻
版本管理软件造成的泄露
版本管理软件提供完备的版本管理功能,用于存储、追踪目录(文件夹)和文件的修改历史,是软件开发者的必备工具,是软件公司的基础设施。
常见的版本管理软件有git、svn等。
防御方法:
当我们使用Git创建一个新项目时,必须正确地设置一个 .gitignore 文件。.gitignore 是一个 Git 配置文件,它列出了不会被存入Git仓库的文件或目录;
合理配置网站,敏感路径禁止访问;
定期检查敏感文件泄露问题;
安装waf。
配置文件泄露
除了上述版本管理工具所导致的泄露外, 配置不当也是导致信息泄露的重要原因之一。
防御方法:
定期使用漏洞扫描器扫描自己的网站;
合理配置网站,敏感路径禁止访问;
安装waf。
备份文件泄露
粗心的开发者会将网站的备份文件放置在可以通过http访问的路径下,导致任何人都可以下载整站备份。
防御方法:
定期使用漏洞扫描器扫描自己的网站;
绝对不把备份文件放在可访问路径内;
安装waf。
讲师针对每一模块都有详细的精彩解析,对敏感文件泄露感兴趣的小伙伴一定要认真看课学习哦~
看课地址:
https://www.ichunqiu.com/open/68673(Web端看课体验更佳)
End
— 往期回顾 —
▶ 代码审计实操
▶ 浅析勒索病毒
▶ 浅析红队基础设施
▶ 红队建设之道
▶ 手机锁屏密码安全
▶ 中间人攻击
▶ 十分钟看懂隐写术
▶ 信息泄露问题
▶ 狡猾的漏洞利用
▶ CAN总线安全
力荐丨渗透测试就业班
i春秋官方公众号为大家提供
前沿的网络安全技术
简单易懂的实用工具
紧张刺激的安全竞赛
还有网络安全大讲堂
更多技能等你来解锁
本文始发于微信公众号(i春秋):技术干货丨白帽表哥教你学会挖敏感文件泄露漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论