Web服务器.svn隐藏文件夹漏洞利用、修复和杜绝
2016-12-05 16:38
387 查看
说明:
SVN(subversion)是源代码版本管理软件,在SVN的使用中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。如果在发布代码时,直接复制代码文件夹到Web服务器,同时.svn隐藏 文件夹也被上传到程序根目录,可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息。一、此隐藏文件夹是怎么来的?
从svn获取发布版本时,没有正确使用svn导出功能导致!具体细节, 乌云 上面有篇文章,可以参考。二、***是如何利用svn隐藏文件漏洞的?
1、漏洞利用工具: Seay SVN漏洞利用工具 (请自己下载)别去算命了,生肖决定你的财富!
【点击进入】
你的生肖决定了你这辈子是穷苦命, 还是富贵命!生肖本命佛改变你的运势!
查 看
2、添加网站url在被利用的网址后面加 /.svn/entries
系统运维 www.osyunwei.com 温馨提醒:系统运维原创内容版权所有,转载请注明出处及原文链接就能列出来网站目录,甚至下载整站。
三、修复漏洞
1、在web服务器配置文件中增加一段代码,过滤到.svn文件,返回404nginx服务器:location ~ ^(.*)\/\.svn\/{return 404;}重启nginxApache服务器:Order allow,denyDeny from all 重启Apache2、查找服务器上所有.svn隐藏文件夹,删除以下命令删除当前目录下.svn文件夹find . -type d -name ".svn"|xargs rm -rfrm -rf `find . -type d -name .svn`find . -name ".svn" -type d | xargs rm -frfind . -name ".svn" -type d | xargs -n1 rm -Rfind /root/ -name ".svn"|xargs rm -rf使用脚本删除#!/bin/shcd /home/web/find ./ -name ".svn" |xargs -n1 echo > /dev/null 2>&1find ./ -name ".svn" -print0 | xargs -0 rm -frif [ $? -ne 0 ]; thenecho "remove .svn dirs failed!"fi以上文件保存为.sh执行之后,会删除 /home/web目录及其子目录中 所有 .svn 隐藏文件夹
四、杜绝此类漏洞
开发人员在使用SVN时,严格使用导出功能。禁止直接复制代码。或在写钩子时sync加上参数--exclude=*.svn 排除.svn文件至此,Web服务器.svn隐藏文件夹漏洞利用、修复和杜绝教程完成。
相关文章推荐
- Web服务器 .svn隐藏文件夹漏洞修复和杜绝
- svn服务器的搭建以及利用svn hook与web根目录同步
- svn提交后利用hooks自动更新web服务器
- [转载20131024]Nginx服务器漏洞的利用和修复方法
- Windows2008 r2“Web服务器HTTP头信息泄露”漏洞修复
- 一步一步实现企业网络架构之八:利用IIS建立和维护一个WEB服务器
- 利用WebRequest来实现模拟浏览器通过Post方式向服务器提交数据
- JSP多种web应用服务器导致JSP源码泄漏漏洞
- JSP多种web应用服务器导致JSP源码泄漏漏洞
- 如何寻找WEB程序漏洞及如何利用和防范
- 如何寻找WEB程序漏洞,及如何利用和防范
- 利用httpWebrequest 向服务器发送请求,并返回结果.
- ISA FAQ之一:如何利用ISA Server进行内部web服务器的发布(外网对内网进行访问)
- 由于使用SVN 造成的项目无法使用的问题,报错“项目刷新失败,无法从服务器中检索文件夹信息 ”
- 利用“花生壳”和Tomcat建立自己的Web服务器
- 利用HttpWebRequest向服务器XML数据
- 利用WebRequest来实现模拟浏览器通过Post方式向服务器提交数据
- Google 修复web站点漏洞
- 利用WebRequest来实现模拟浏览器通过Post方式向服务器提交数据
- ASP利用XML打包指定文件夹 并上传到WEB目录中,自行解包