源码获取、fuzz思路
源码获取、fuzz思路
找源码
https://blog.csdn.net/super_yiang/article/details/82491310
右键查看源代码
最简单的,右键查查看
代码压缩包泄露
有些站点的管理员将源码备份成压缩包的格式,却放在了Web目录下,攻击者访问该压缩包的时候就会下载该压缩包。
PS:常见后缀 : .zip .rar .tar.gz .7z
.git源码泄露
从git仓库下载代码的时候,会在本地生成一个.git隐藏文件夹(存放代码的变更记录),导致攻击者可以使用该文件夹下的信息拿到代码。
PS:利用工具:GitHack
.DS_Store泄漏
SVN代码泄露
敏感信息
rebots.txt
备份文件
index.php.swp
index.php.bak