玩儿转网站备份泄漏漏洞

主要观点总结

本文介绍了网站备份文件的安全隐患及漏洞成因，包括服务器管理员误操作、编辑器缓存文件未删除、备份文件命名不规范等问题。同时提到一种开源工具bfac的功能和使用方法，并指出其效果及局限性。最后介绍了三个信安之路内部工具。

关键观点总结

关键观点1: 网站备份文件的安全隐患

备份文件或编辑器缓存文件留在web目录下可能导致敏感信息泄露，给服务器安全带来隐患。成因包括服务器管理员误操作和编辑器缓存文件未删除。

关键观点2: 备份文件的命名方式和漏洞检测

备份文件命名方式多样，实战中需关注与网站域名相关的命名和常见的压缩包后缀。漏洞检测主要关注源代码泄露的风险，如数据库连接信息等。

关键观点3: 开源工具bfac的介绍和局限性

bfac具有多种备份字典组合方式，但测试效果一般，误报较多。需要取其精华，去其糟粕，开发自己的小工具。

关键观点4: 信安之路内部工具介绍

介绍了信安之路的成长平台、攻防技术知识库和历史漏洞扫描器三个内部工具，这些工具可以帮助提高信息安全方面的学习和工作效率。

文章预览

在网站的使用过程中，往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露，给服务器的安全埋下隐患。 该漏洞的成因主要有以下两种： 服务器管理员错误地将网站或者网页的备份文件放置到服务器 web 目录下 编辑器在使用过程中自动保存的备份文件或者临时文件因为各种原因没有被删除而保存在 web 目录下 漏洞检测: 该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载，利用。源代码中所包含的各类敏感信息，如服务器数据库连接信息，服务器配置信息等会因此而泄露，造成巨大的损失。被泄露的源代码还 ………………………………