1. 首页
  2. 网络安全技术

WEB安全渗透测试常见漏洞:文件读取漏洞

WEB安全渗透测试常见漏洞:文件读取漏洞

3.6. 文件读取

考虑读取可能有敏感信息的文件

  • 用户目录下的敏感文件
    • .bash_history
    • .zsh_history
    • .profile
    • .bashrc
    • .gitconfig
    • .viminfo
    • passwd
  • 应用的配置文件
    • /etc/apache2/apache2.conf
    • /etc/nginx/nginx.conf
  • 应用的日志文件
    • /var/log/apache2/access.log
    • /var/log/nginx/access.log
  • 站点目录下的敏感文件
    • .svn/entries
    • .git/HEAD
    • WEB-INF/web.xml
    • .htaccess
  • 特殊的备份文件
    • .swp
    • .swo
    • .bak
    • index.php~
  • Python的Cache
    • __pycache__\__init__.cpython-35.pyc

文章来源:【安全时代】 原文链接:https://www.agesec.com/article/6211.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注