iT邦幫忙

2021 iThome 鐵人賽

DAY 7
0

Q1. 常規文件是什麼?

網頁專案中,有許多工程師慣用的文件命名方式,這些文件可能暗藏網頁的相關資訊,甚至洩漏原始碼,於是我們可以使用目錄字典來搜尋,找到這些隱藏的文件。

Q2. 為什麼會有 常規文件 的問題?

  • 在工程師撰寫專案時,可能會在專案目錄中生成各種壓縮檔、Readme 等。
  • 這些資料可能紀錄著專案的版本資料、程式邏輯等,若不慎將其公開,駭客便可以讀取/下載其中的內容。

Q3. 常規文件洩漏類型

常規文件有許多種,主要依靠經驗或字典檔暴力搜尋來進行,以下簡單舉例三類:

  • 搜尋引擎相關:
    • robots.txt : 用於紀錄禁止搜尋引擎爬蟲抓取的檔案或目錄,而不允許搜尋引擎抓取的目錄時常也比較敏感。CTF 時常可見這類題目。
  • 專案開發相關:
    • [README.MD](http://readme.MD)[README.md](http://readme.md)README :專案開發時常見的文件,用於紀錄版本資訊、使用方法等,可能洩漏專案的相依套件,甚至是 GitHub 網址。
  • 備份相關:
    • 常見的壓縮檔名如下,可能在其中包含網頁原始碼:

      www.zip
      www.rar
      www.zip
      www.7z
      www.tar.gz
      www.tar
      
      web.zip
      web.rar
      web.zip
      web.7z
      web.tar.gz
      web.tar
      

參考資料: https://www.gushiciku.cn/pl/gXV5/zh-tw

Q4. 常規文件搜尋工具


上一篇
【第六天 - vim 備份洩漏】
下一篇
【第八天 - 網頁基本資訊蒐集】
系列文
【CTF衝衝衝 - Web篇】30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言