汇总容易导致WEB漏洞的敏感文件

1. /.svn/entries
svn文件泄漏,有可能会下载到压缩包数据库等相关信息,动态脚本如果被解析了是下载不了的;
2. /.project
开发者留下的java项目文件,暂未发现啥问题,看到一些配置信息;
3. /test
test.txt
test.shtml
test.pl
test.php3
test.php
test.jsp
test.html
test.htm
test.cgi
test.cfm
test.aspx
test.asp
测试页面,可能存在sql注入接口,或者越权查询等等相关漏洞
4. /*.asmx?wsdl
WebService.asmx?wsdl
如果增加?wsdl发现返回xml,极有可能是SOAP接口了,存在sql注入等漏洞;
5. /robot.txt
站点地图文件,某知名安全公司,原本没发现是开源cms做的,看到了robot.txt,一看便知是dedecms,离getshell又近了一步
6. Parent Directory
目录列表文件,如果在返回中包括了 Parent Directory ,可以判断开启了目录列表选项,可以查看是否有有用的文件
7. .DS_Store
苹果下的开发项目结构文件,可以通过这个文件晓得项目的目录结构,比如可以看到后台,数据库文件等直接下载

发表评论

电子邮件地址不会被公开。 必填项已用*标注

This site uses Akismet to reduce spam. Learn how your comment data is processed.