如何制作自己的公司网站,著名建筑设计案例,网站备案如何查询,南阳网站制作价格一、背景以及泄露途径
通常我们会对数据进行备份#xff0c;比如我们在发布网站的时候会对将要替换的版本进行备份。我们在对重要文件进行修改的时候我们也需要进行备份#xff0c;如果我们对备份或缓存的文件或信息为做好管理#xff0c;很容易就导致我们的敏感信息泄露。…一、背景以及泄露途径
通常我们会对数据进行备份比如我们在发布网站的时候会对将要替换的版本进行备份。我们在对重要文件进行修改的时候我们也需要进行备份如果我们对备份或缓存的文件或信息为做好管理很容易就导致我们的敏感信息泄露。 那么在网络安全中信息泄露的途径特别多就包括网站源码、bak文件 、vim缓存、.DS_Store等等 常见的网站信息泄露就比如当开发人员在线上环境中对源代码进行了备份操作开发人员图方便将备份文件放在了 web 目录下就会引起网站源码泄露。
二、泄露信息发现
我们又怎么去知道哪些信息泄露了呢通常我们可以使用一些工具
2.1 对于网站信息扫描
对于网站信息我们可以使用dirsearch工具 python3 dirsearch.py -u url -e * 就可以对特定url网站进行目录扫描找出一些隐藏的目录
2.2 对于版本管理git信息扫描
对于我们常用的版本管理工具git我们可以使用GitHacker 探测是否有隐藏信息 python3 GitHacker.py url/.git常见的git查看隐藏信息的命令有 git log 查看git提交信息 git reset --hard git提交的id’ git stash pop stash 是git的堆栈区
2.3 对于版本管理svn
SVN泄露 会有一个.svn文件夹 使用dirsearch扫描 git clone https://github.com/kost/dvcs-ripper 使用 dvcs-ripper 脚本 ./rip-svn.pl -v -u url/.svn/
2.4 对于分布式版本工具hg
hg泄露hg是一个分布式版本控制工具Mercurial分布式版本控制系统主程序名字是hg所以简称hg它是基于python的 ./rip-hg.pl -v -u url/.hg
2.5 对于文件隐藏信息
查看文件隐藏泄漏的信息除了可以直接看文档内容之外我们还可以借助foremost工具这是查看文件中是否隐藏了其他文件的方法
三、防范未然
从第二章我们可得出信息泄露分为无意和故意两种情况无意即不小心由于使用的工具存在缓存或者这个工具记录了提交信息。另一种就是有意这是出于某种目的将信息传递出去比如在一个word文档中隐藏了另外一个资源。那么我们在防止信息泄露过程中一方面要规范工具使用流程和使用要求避免由于工具导致信息泄露。另外一方面我们要加强对人员的教育规范操作和信息追踪以防止人员故意将信息泄露。
四、总结
安全和防护就像矛和盾的较量“道高一尺魔高一丈”是完全没有终点的。今天分享了信息泄露的部分途径这些途径泄露信息是比较隐蔽的需要一定的技术能力才能进行追踪。
