文件泄露, 根据泄漏的信息敏感程度, 在WEB漏洞中可以算是中危甚至高危的漏洞, 本篇文章就来 介绍下一些常见的泄漏, 主要分为由版本管理软件导致的泄露, 文件包含导致的泄露和配置错误导致的泄露. 版本管理软件造成的泄露 git git可以说是当今最受欢迎的版本控制/版本管理软件了, 很多基于git的云端托管仓库都提供了 免费的托管服务, 甚至有不少还支持免费私有仓库, 如bitbucket和国内的gitosc(开源中国)等. 关键文件 git在初始化项目的时候, 会在项目的根目录(可用git

目录00x1 .ng源码泄露 00x2  git源码泄露 00x3 .DS_Store文件泄漏 00x4 网站备份压缩文件 00x5 SVN导致文件泄露 00x6 WEB-INF/web.xml泄露 00x7 CVS泄漏 工具推荐 参考 0x01 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg <span class="pln">e</span><span class="pun">.</span><

来自:http://www.hacksec.cn/Penetration-test/474.html 摘要 背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现. .hg源码泄漏 漏洞成因:   hg init的时候会生成.hg e.g.http://www.example.com/.hg/ 漏洞利用:   工具: dvcs-ripper rip-hg.pl -v -u http://www.example.com/.hg/ .git源码泄漏 漏洞成因:   在运

常见的Web源码泄露总结 源码泄露方式分类 .hg源码泄露 漏洞成因: hg init 的时候会生成 .hg 漏洞利用: 工具: dvcs-ripper .git源码泄露 漏洞成因: 在运行git init 初始化代码库的时候,会在当前目录下产生一个.git的隐藏文件,用来记录代码的变更记录等等.在发布代码的时候,如果该文件没有删除而是直接发布了,那么使用这个文件,就可以恢复源代码. 漏洞利用: 工具:GitHack .DS_Store文件泄露 漏洞成因: 在发布代码的时候未删除隐藏文件汇总的.

Web源码泄露总结 背景 本文主要是记录一下常见的源码泄漏问题,这些经常在web渗透测试以及CTF中出现. 源码泄漏分类 .hg源码泄漏 漏洞成因: hg init的时候会生成.hg e.g.http://www.example.com/.hg/ 漏洞利用: 工具:dvcs-ripper rip-hg.pl -v -u http://www.example.com/.hg/ .git源码泄漏 漏洞成因: 在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件,用来记

知识点:PHP弱类型 .git文件泄露 玩攻防世界 遇到一个题lottery  进去看看  分析玩法 我们发现 进入登陆用户都是初始值 金钱是20  彩票号码必须输入7位 然后看你输入的彩票号码有多少个重复. 然后我们还发现 flag是可以购买的只要你金钱够... 这时间我们猜想可能他让我彩票赢钱来获取flag  一时思路是 暴力- 习惯拿到网站  先上AWVS 扫描 我们扫描出了.git 我们可以利用这个.git漏洞 首先我们来了解下.Git这个东西 Git信息泄露的危害很大,渗透测试人员.攻

和上一篇文章差不多,也算是对web源码泄露的一个总结,但是这篇文章更侧重于CTF 参考文章: https://blog.csdn.net/wy_97/article/details/78165051?utm_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-b

Web.config的读取 对于Web.config的读取大家都很属性了.平时我们用得比较多的就是appSettings节点下配置.如: 我们对应的代码是: = ConfigurationManager.AppSettings[“OAuth_QQ_ClientId”]; = ConfigurationManager.AppSettings[“OAuth_QQ_CallbackUrl”]; = ConfigurationManager.AppSettings[“OAuth_QQ_ClientScr

1.启动一个WEB项目的时候,WEB容器会去读取它的配置文件web.xml,读取<listener>和<context-param>两个结点. 2.紧急着,容创建一个ServletContext(servlet上下文),这个web项目的所有部分都将共享这个上下文. 3.容器将<context-param>转换为键值对,并交给servletContext. 4.容器创建<listener>中的类实例,创建监听器. 二 Load-on-startup Load-

其实web.xml就是asp.net的web.config一个道理. 说明: 一个web中完全可以没有web.xml文件,也就是说,web.xml文件并不是web工程必须的. web.xml文件是用来配置:欢迎页.servlet.filter等的.当你的web工程没用到这些时,你可以不用web.xml文件来配置你的web工程. web.xml能做的事情: 其实,web.xml的模式(Schema)文件中定义了多少种标签元素,web.xml中就可以出现它的模式文件所定义的标签元素,它就能拥有定义出

改变F盘图标. 原理:在f盘下新建一个Autorun.inf文件,文件内容是 [AutoRun]icon=favicon.ico准备名为favicon.ico图标文件,将其放在工程目录里,设计程序将它移动到f盘下 令计算机重启使Atuorun.inf生效. 完整程序如下: #include<windows.h> #include <tchar.h> #include<stdio.h> int main() { //复制favicon.ico到F盘 //获得不包含文件名的

配置Autorun.inf文件可以使双击磁盘时,自动运行某一应用程序.但是现在只支持CD或者DVD媒体了(以前硬盘也可以) 关于Autorun.inf的组成部分可以参考https://msdn.microsoft.com/zh-cn/cc144200 c语言编写程序的原理是,遍历C~Z所有分区,检查其类型,对所有DRIVE_REMOVABLE||DRIVE_FIXED类型的分区,写入使自身自动运行的Autorun.inf文件,将自身复制到相应分区的根目录下,同时将自己的属性设置为隐藏 程序如下:

  web.xml文件详解 Table of Contents 1 listener. filter.servlet 加载顺序 2 web.xml文件详解 3 相应元素配置 1 listener. filter.servlet 加载顺序 在项目中总会遇到一些关于加载的优先级问题,近期也同样遇到过类似的,所以自己查找 资料总结了下,下面有些是转载其他人的,毕竟人家写的不错,自己也就不重复造轮子 了,只是略加点了自己的修饰. 首先可以肯定的是,加载顺序与它们在 web.xml 文件中的先后顺序无关.

ATL开发 ActiveX控件的 inf文件模板    

Java获取Web服务器文件 如果获取的是服务器上某个目录下的有关文件,就相对比较容易,可以设定死绝对目录,但是如果不能设定死绝对目录,也不确定web服务器的安装目录,可以考虑如下两种方式: 方法一:先获取web服务器当前绝对位置,然后拼接相对目录 考虑到java web项目一般会采用strust2来做,所以可以使用ServletActionContext.getServletContext().getRealPath("")来获取当前的web服务器绝对路径.再拼接相对位置即可,总的程

web.xml 文件配置01   前言:一般的web工程中都会用到web.xml,方便开发web工程.web.xml主要用来配置Filter.Listener.Servlet等.但是要说明的是web.xml并不是必须的,一个web工程可以没有web.xml文件.   1.定义头和根元素   部署描述符文件就像所有XML文件一样,必须以一个XML头开始.这个头声明可以使用的XML版本并给出文 件的字符编码.web.xml的模式文件是由Sun公司定义的,每个web.xml文件的根元素<web-app

nno setup 调用*.Inf文件的条目区段名称_示例 首先自己编写一个INF文件来供 Inno setup 进行测试: ;复制以下代码到记事本然后另存为123.inf .然后把123.inf文件复制到C:\WINDOWS\inf\目录下即可.;-------------------------------------------------inf文件代码开始---------------------------------------------------- [Version]signa

http://www.jq22.com/jquery-info2665   插件描述:WebUploader是由Baidu WebFE(FEX)团队开发的一个简单的以HTML5为主,FLASH为辅的现代文件上传组件.在现代的浏览器里面能充分发挥HTML5的优势,同时又 不摒弃主流IE浏览器,沿用原来的FLASH运行时,兼容IE6+,iOS 6+, android 4+.两套运行时,同样的调用方式,可供用户任意选用. 采用大文件分片并发上传,极大的提高了文件上传效率. 分片.并发 分片与并发结合,

这道题,还是很不错的.卡在了token绕过那里,不得已看了别人的writeUp,才做出来,惭愧! 但还是想写写WriteUp做一下记录! 首先是打开题目,习惯性查看源码,发现了点蛛丝马迹 知道了,管理员的邮箱,还有编辑文件的编辑器是vim. 整道题是这样的,我们可以看到页面的HTML提示管理员邮箱是admin@simplexue.com,并且用vim编辑器.   通过step1.php,处理程序我们知道是step2.php,最后是submit.php负责校验.   vim编辑器的特点是,可能产生

[转载]web.xml文件中的web-app元素 (2012-05-24 13:35:57) 转载▼ 标签: 转载 分类: java 挺全 的 呵呵呵 转了 原文地址:web.xml文件中的web-app元素作者:sugar web.xml文件中web-app元素声明的是下面每个子元素的声明.下面的章节讲述部署描述符中可能包含的所有子元素. 注意: 在Servlet 2.3中,子元素必须按照DTD文件语法描述中指定的顺序出现.比如,如果部署描述符中的web-app元素有servlet和servl

引用一篇很不错的文章:http://blog.csdn.net/wxwzy738/article/details/16983935 首先 classpath是指 WEB-INF文件夹下的classes目录 classpath 和 classpath* 区别: classpath:只会到你指定的class路径中查找文件; classpath*:不仅包含class路径,还包括jar文件中(class路径)进行查找. 举个简单的例子,在我的web.xml中是这么定义的:classpath*:META-