## 源码泄露 ### 常见源码泄露 ~~~ /.bzr/ /CVS/Entries /CVS/Root /.DS_Store MacOS自动生成 /.hg/ /.svn/ (/.svn/entries) /.git/ /WEB-INF/src/ /WEB-INF/lib/ /WEB-INF/classes/ /WEB-INF/database.properties /WEB-INF/web.xml Robots.txt ~~~ 上述源码泄露在Github上都可以找到相应的利用工具 ### A 网页扫描 通过扫描器扫描web站点，看是否有源码相关目录被泄漏，如有，再通过特殊工具恢复 工具如：**破壳web扫描器**、**御剑扫描器** ### B github类信息泄漏 GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区，安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中，github也是黑、白帽子、安全工程师的必争之地。 **全自动监控github**：https://sec.xiaomi.com/article/37 **GitHub敏感信息泄露监控**：[GSIL](https://github.com/FeeiCN/GSIL)、[Github-Monitor](https://github.com/VKSRC/Github-Monitor) 在GitHub中一般通过搜索网站域名、网站JS路径、网站备案、网站下的技术支持等进行敏感信息查询 ### C 社工方式收集 还可以在QQ群备注或介绍等，甚至混入企业qq工作群查找，这设计社工范畴了 ### D 源码泄露利用工具 * .git源码泄露：[https://github.com/lijiejie/GitHack](https://github.com/lijiejie/GitHack) * .DS\_Store泄露：[https://github.com/lijiejie/ds\_store\_exp](https://github.com/lijiejie/ds_store_exp) * .bzr、CVS、.svn、.hg源码泄露：[https://github.com/kost/dvcs-ripper](https://github.com/kost/dvcs-ripper)