信息泄漏,目录浏览漏洞
目录
【漏洞成因】
信息泄漏:线上存放测试文件,压缩文件,Log文件,调试文件,源代码,备份数据库等
目录浏览:IIS,Apache,Nginx等web server配置错误导致的目录结构泄漏
【漏洞系统】
全部web server
【漏洞危害】
可以导致服务器文件被下载,敏感信息泄漏
【漏洞演示】
看涉及到公司业务的几个例子:
Resin的目录浏览:
Apache的目录浏览,导致源代码,Log等文件泄漏。
数据文件:
下载下来为数据库文件。
压缩文件:
下载下来为公司业务源代码
源代码泄漏:
【修复建议】
\1. 内网用web服务程序禁止开放在外网
\2. 如需开放在外网,请按照相应安全规范对webserver进行配置,确保源代码、sql脚本、日志等一切敏感信息,禁止放在web目录
