一、背景以及泄露途径
通常我们会对数据进行备份,比如我们在发布网站的时候会对将要替换的版本进行备份。我们在对重要文件进行修改的时候我们也需要进行备份,如果我们对备份或缓存的文件或信息为做好管理,很容易就导致我们的敏感信息泄露。
那么在网络安全中信息泄露的途径特别多,就包括:网站源码、bak文件 、vim缓存、.DS_Store等等
常见的网站信息泄露就比如:当开发人员在线上环境中对源代码进行了备份操作,开发人员图方便将备份文件放在了 web 目录下,就会引起网站源码泄露。
二、泄露信息发现
我们又怎么去知道哪些信息泄露了呢?通常我们可以使用一些工具:
2.1 对于网站信息扫描
对于网站信息,我们可以使用dirsearch工具
python3 dirsearch.py -u url -e *
就可以对特定url网站进行目录扫描,找出一些隐藏的目录
2.2 对于版本管理git信息扫描
对于我们常用的版本管理工具git,我们可以使用GitHacker 探测是否有隐藏信息
python3 GitHacker.py url/.git
常见的git查看隐藏信息的命令有:
git log 查看git提交信息
git reset --hard git提交的id’
git stash pop stash 是git的堆栈区
2.3 对于版本管理svn
SVN泄露 会有一个.svn文件夹
使用dirsearch扫描
git clone https://github.com/kost/dvcs-ripper
使用 dvcs-ripper
脚本: ./rip-svn.pl -v -u url/.svn/
2.4 对于分布式版本工具hg
hg泄露,hg是一个分布式版本控制工具,Mercurial分布式版本控制系统,主程序名字是hg,所以简称hg,它是基于python的
./rip-hg.pl -v -u url/.hg
2.5 对于文件隐藏信息
查看文件隐藏泄漏的信息,除了可以直接看文档内容之外,我们还可以借助foremost工具,这是查看文件中是否隐藏了其他文件的方法
三、防范未然
从第二章,我们可得出,信息泄露分为无意和故意两种情况,无意即不小心,由于使用的工具存在缓存,或者这个工具记录了提交信息。另一种就是有意,这是出于某种目的将信息传递出去,比如在一个word文档中隐藏了另外一个资源。那么我们在防止信息泄露过程中,一方面,要规范工具使用流程和使用要求,避免由于工具导致信息泄露。另外一方面,我们要加强对人员的教育,规范操作和信息追踪,以防止人员故意将信息泄露。
四、总结
安全和防护,就像矛和盾的较量,“道高一尺魔高一丈”,是完全没有终点的。今天分享了信息泄露的部分途径,这些途径泄露信息是比较隐蔽的,需要一定的技术能力才能进行追踪。