web备份文件泄漏 漏洞原理以及修复方法

漏洞名称:备份文件泄漏

漏洞描述:

备份文件泄露,在web服务中,尝尝不局限于网站的源代码泄露,网站的数据库备份文件,以及上传的敏感文件,或者一切正常备份,原则不允许访问的文件可被通过访问web路径进行下载得到,造成其信息泄露。有效的帮助攻击者理解网站应用逻辑, 为展开其他类型的攻击提供 有利信息,降低攻击的难度,可以进一步获取其他敏感数据。

检测条件:

1、 Web业务运行正常。

2、 存在可通过构造路径,将备份文件下载出来。

检测方法

1、 常见检测方法是通过对网站进行web漏洞扫描,直接利用爬虫来爬取网站可能存在的路径以及链接,如果存在备份文件,则可通过web直接进行下载。

2、 也可以通过自行构造字典,对网站某一目录下,指定字典进行爆破,常见的扫描工具有wwwscan、御剑后台扫描工具等。

修复方案

1、 网站管理员严格检查web中可访问的路径下是否存在备份文件,常见备份文件后

缀为.jsp.bak、.bak、.sql、.txt、等等。如果有这些文件,直接将该备份文件进行转移到其他目录或者直接删除即可。

2、 严格控制可网站可访问目录下的文件敏感度的存放问题,不要将敏感文件置于所有用户均可访问的公开目录内。

相关推荐
嘉里蓝海17 小时前
橙色风暴中的安全堡垒:嘉顺达蓝海的危运密码
安全
嘉里蓝海18 小时前
橙色车队:嘉顺达蓝海的危险品运输安全史诗
安全
jun~18 小时前
SQLMap绕过 Web 应用程序保护靶机(打靶记录)
linux·笔记·学习·安全·web安全
挨踢攻城19 小时前
Linux安全 | 防火墙工具 iptables 详解
linux·安全·iptables·rhce·rhca·厦门微思网络·linux防火墙工具
上海云盾商务经理杨杨20 小时前
2025年电商小程序小量DDoS攻击防护指南:从小流量到大威胁的全面防护方案
网络安全·小程序·ddos
爱隐身的官人20 小时前
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
python·web安全·weblogic
纠结的学渣21 小时前
信息安全基础知识:04网络安全体系
网络·安全
火山引擎开发者社区21 小时前
MCP 安全“体检” | AI 驱动的 MCP 安全扫描系统
人工智能·安全
小苑同学1 天前
PaperReading:《Manipulating Multimodal Agents via Cross-Modal Prompt Injection》
人工智能·网络安全·语言模型·prompt·安全性测试
Keepreal4961 天前
浏览器同源策略与跨域解决方案
安全·浏览器