ThinkChat2.0新版上线,更智能更精彩,支持会话、画图、阅读、搜索等,送10W Token,即刻开启你的AI之旅 广告
# 成因: * 网站配置错误 * 网站的历史遗留问题 * 企业员工的安全意识不足(弱口令,代码托管在github上) * 安全性缺陷 # 分类及利用: * 安全性缺陷:SQL注入,越权,等 * 备份文件:包含敏感信息的文件被下载(扫描备份字典) * 目录遍历:工具扫描(信息上传处易出问题) * 第三方:代码托管 # 实例: * 邮箱系统后缀名被fuzz,通过添加特殊字符串, 可直接下载index.php的源码,进而进行代码审计,找到配置文件下载 * 平台由php切换成ASPX,历史站点被遗留在了一个目录上,而php已经不被解析,可直接查看源码 # 工具推荐: * weakfilescan * GitMiner * GitPrey * dirb * FUZZDB # 防御: 定期对员工进行安全意识我的培训。具体的话,针对攻击的方式。