网站敏感文件/目录大全(分类记忆+风险标注)
核心记忆逻辑:按「信息敏感度+常见场景」分类,提炼关键词口诀:
「配置备份日志,管理源码敏感,服务器临时」
(对应8大核心类别,每个类别记1-2个关键词即可快速联想)
一、配置文件类(高风险:泄露账号密码/系统架构)
1. 通用配置文件
| 敏感文件/目录 | 风险等级 | 说明(危害+常见场景) | 常见变体/关联文件 |
|---|---|---|---|
config.php |
极高 | PHP网站核心配置,含数据库账号密码、密钥 | config.inc.php、cfg.php、conf.php |
application.yml |
极高 | Java/Spring Boot配置,含数据库、Redis、API密钥 | application.properties、bootstrap.yml |
settings.py |
极高 | Python/Django/Flask配置,含数据库、SECRET_KEY | local_settings.py、config.py |
web.config |
极高 | ASP.NET/IIS配置,含连接字符串、权限设置 | app.config、web.release.config |
wp-config.php |
极高 | WordPress核心配置,数据库账号+网站密钥 | 无(固定命名,易被暴力访问) |
database.php |
极高 | 数据库独立配置文件,直接泄露DB连接信息 | db.php、db_config.php、sql_config.php |
.env |
极高 | 环境变量配置文件,含敏感密钥(不版本控制但易泄露) | .env.example、.env.prod、.env.local |
2. 服务器/中间件配置
| 敏感文件/目录 | 风险等级 | 说明 | 常见路径 |
|---|---|---|---|
nginx.conf |
高 | Nginx配置,含虚拟主机、反向代理、日志路径 | /etc/nginx/、/usr/local/nginx/conf/ |
httpd.conf |
高 | Apache配置,含网站根目录、权限、模块配置 | /etc/httpd/、/usr/local/apache/conf/ |
php.ini |
高 | PHP运行配置,含错误日志、上传限制、扩展信息 | /etc/php/、/usr/local/php/etc/ |
my.cnf/my.ini |
高 | MySQL配置,含root密码、监听地址、日志路径 | /etc/my.cnf、C:\ProgramData\MySQL\ |
redis.conf |
高 | Redis配置,含密码、绑定IP、持久化路径 | /etc/redis/、/usr/local/redis/conf/ |
二、备份文件类(高风险:直接下载源码/数据库)
1. 源码备份
| 敏感文件/目录 | 风险等级 | 说明 | 常见命名规律 |
|---|---|---|---|
www.zip/web.zip |
极高 | 网站全部源码压缩包,下载后可完整审计漏洞 | site.zip、backup.zip、源码.zip |
backup.rar |
极高 | 源码/配置备份,Windows环境常用 | data.rar、web_backup.rar |
www.tar.gz |
极高 | Linux环境源码备份,压缩率高,含全部文件 | backup.tar.gz、site_backup.tgz |
config.php.bak |
极高 | 配置文件备份,直接泄露敏感信息 | config.bak、config.php.old、config.php~ |
index.php.bak |
高 | 首页源码备份,可能含数据库连接、逻辑漏洞 | index.bak、index.php.1、index.php.save |
2. 数据库备份
| 敏感文件/目录 | 风险等级 | 说明 | 常见命名规律 |
|---|---|---|---|
db.sql |
极高 | 数据库明文备份,含全部用户数据、账号密码 | database.sql、sql_backup.sql |
backup.sql.zip |
极高 | 数据库压缩备份,下载后解压即可获取全部数据 | db_backup.zip、mysql_202508.sql.rar |
wordpress.sql |
极高 | WordPress数据库备份,含用户账号、文章内容 | wp_backup.sql、wp_db_2025.sql |
data.sql.bak |
极高 | 数据库备份的备份文件,易被忽略 | db.bak、sql.bak |
三、日志文件类(中高风险:泄露用户数据/系统路径)
| 敏感文件/目录 | 风险等级 | 说明(泄露信息+危害) | 常见路径/变体 |
|---|---|---|---|
access.log |
高 | 访问日志:用户IP、访问路径、UA、请求参数 | nginx_access.log、apache_access.log |
error.log |
高 | 错误日志:代码报错、数据库连接失败、路径信息 | nginx_error.log、php_error.log |
debug.log |
高 | 调试日志:框架/代码调试信息,含敏感参数 | app_debug.log、runtime/log/debug.log |
user.log |
高 | 用户操作日志:登录记录、注册信息、订单数据 | member.log、operate.log |
runtime/log/ |
高 | 框架运行日志目录(ThinkPHP/Java等) | logs/、var/log/、storage/logs/ |
iis.log |
中高 | IIS服务器日志,含访问记录、错误信息 | C:\inetpub\logs\LogFiles\ |
syslog |
中高 | Linux系统日志,含服务器运行状态、用户登录记录 | /var/log/syslog、/var/log/messages |
四、管理后台类(高风险:暴力破解入口)
1. 通用后台路径
| 敏感目录 | 风险等级 | 说明(常见用途+破解风险) | 常见变体/关联路径 |
|---|---|---|---|
/admin/ |
极高 | 最常用管理后台,默认路径易被扫描 | /admin/login/、/admin/index.php |
/manage/ |
极高 | 管理后台同义词,电商/企业站常用 | /manager/、/admin_manage/ |
/system/ |
极高 | 系统管理后台,权限极高(可修改配置) | /sys/、/admin_system/ |
/cms/ |
极高 | CMS系统后台(如织梦、帝国) | /cms/admin/、/dede/(织梦) |
/wp-admin/ |
极高 | WordPress后台,固定路径,易被暴力破解 | /wp-login.php(登录页) |
/user/ |
高 | 用户中心/会员后台,含个人信息、订单 | /member/、/usercenter/、/account/ |
/login/ |
高 | 通用登录页,可能是后台/用户登录入口 | /logon/、/signin/、/admin_login/ |
2. 框架专属后台
| 敏感目录 | 风险等级 | 对应框架/系统 | 说明 |
|---|---|---|---|
/thinkadmin/ |
极高 | ThinkAdmin框架 | 默认后台路径,需密码但易被扫描 |
/jeecg-boot/admin/ |
极高 | JeecgBoot框架 | Java后台管理系统常用 |
/shiro/login.jsp |
极高 | Shiro框架 | 权限框架登录页,易被爆破 |
/django/admin/ |
极高 | Django框架 | 自带后台,需账号密码但路径固定 |
五、源码/版本控制类(高风险:泄露完整源码)
| 敏感文件/目录 | 风险等级 | 说明(泄露内容+危害) | 常见路径 |
|---|---|---|---|
.git/ |
极高 | Git版本控制目录,含全部源码、提交记录、分支 | 网站根目录(误上传未删除) |
.gitignore |
高 | Git忽略文件,暴露源码结构、敏感文件名称 | 根目录、子目录均可能存在 |
.svn/ |
极高 | SVN版本控制目录,含完整源码、历史版本 | 根目录、子目录(旧项目常见) |
CVS/ |
高 | CVS版本控制目录,泄露源码结构和文件 | 老项目中常见,根目录/子目录 |
src/ |
高 | 源码目录,含未编译的核心代码(Java/PHP等) | /source/、/code/、/app/src/ |
include/ |
高 | 公共函数/类文件目录,含核心逻辑、敏感方法 | /inc/、/library/ |
六、敏感信息类(中高风险:直接泄露隐私/系统信息)
| 敏感文件/目录 | 风险等级 | 说明 | 常见变体/备注 |
|---|---|---|---|
robots.txt |
中高 | 搜索引擎协议文件,暴露后台路径、禁止爬取目录 | 根目录(必查文件,相当于"藏宝图") |
sitemap.xml |
中 | 网站地图,暴露全部URL结构、页面路径 | sitemap.txt、sitemap_index.xml |
phpinfo.php |
高 | PHP信息探针,暴露PHP版本、服务器配置、扩展 | info.php、php_info.php、test.php |
info.jsp |
高 | Java信息探针,暴露JDK版本、Tomcat配置 | jspinfo.jsp、serverinfo.jsp |
readme.md |
中 | 项目说明文件,暴露框架版本、部署步骤、作者信息 | README.txt、readme.html |
LICENSE |
中 | 开源协议文件,暴露框架/项目版本 | license.txt、LICENSE.md |
user.csv/user.xlsx |
极高 | 用户数据文件,含手机号、邮箱、密码(可能明文) | member.csv、user_data.xls |
password.txt |
极高 | 密码明文文件,测试/运维残留 | pwd.txt、passwd.txt、账号密码.txt |
.htaccess |
高 | Apache/Nginx配置文件,含重定向、权限控制 | 根目录/子目录,可能泄露路径保护规则 |
七、服务器/系统状态类(中风险:暴露服务器信息)
| 敏感文件/目录 | 风险等级 | 说明 | 常见路径/用途 |
|---|---|---|---|
/phpmyadmin/ |
高 | MySQL管理工具,直接操作数据库 | /phpmyadmin4/、/phpmy/、/pma/ |
/phpstudy/ |
高 | PHPStudy面板入口,含服务器配置、数据库管理 | /phpstudy/admin/、/phpstudy/login/ |
/宝塔/ |
高 | 宝塔面板入口,权限极高(可控制整台服务器) | /btpanel/、/宝塔面板/、/admin_bt/ |
status |
中 | 服务器状态页面,暴露CPU/内存/连接数 | /server/status、/status.html |
health |
中 | 应用健康检查页面,暴露服务状态、数据库连接 | /actuator/health(Spring Boot) |
/cgi-bin/ |
中高 | CGI脚本目录,可能存在老旧漏洞(如ShellShock) | 服务器默认目录,部分未删除 |
八、临时/缓存文件类(中风险:泄露操作痕迹/数据)
| 敏感文件/目录 | 风险等级 | 说明 | 常见路径/变体 |
|---|---|---|---|
tmp/ |
中 | 临时文件目录,含上传缓存、会话文件、临时数据 | /temp/、/cache/、/runtime/tmp/ |
session/ |
中高 | 会话文件目录,含用户登录态、会话ID(可伪造) | /sess/、/tmp/sessions/ |
upload/ |
中高 | 上传目录,若未限制后缀,可上传恶意文件 | /uploads/、/file/upload/、/img/upload/ |
.DS_Store |
中 | Mac系统隐藏文件,暴露目录结构、文件名 | 根目录/子目录(前端开发残留) |
Thumbs.db |
中 | Windows缩略图缓存,暴露目录下文件名称 | 图片/文件目录(Windows服务器残留) |
快速记忆口诀(30秒记住核心)
-
配置类:
config、env、yml、php(核心关键词,后缀/前缀通用) -
备份类:
backup、bak、zip、sql(压缩包+备份后缀) -
日志类:
log、debug、access、error(日志关键词) -
后台类:
admin、manage、login、wp-admin(管理+登录关键词) -
源码类:
.git、.svn、src、include(版本控制+源码目录) -
敏感信息:
robots、phpinfo、password、user.csv(探针+隐私文件)
安全提示(自查/防护用)
-
禁止将敏感文件(.env、备份、日志)放在网站根目录;
-
给管理后台路径加随机前缀(如
/admin_8f3k/),避免默认路径; -
限制
phpmyadmin、宝塔面板等工具的访问IP(仅允许内网/信任IP); -
定期删除版本控制目录(.git、.svn)、临时文件和备份文件;
-
通过
robots.txt禁止搜索引擎爬取敏感目录,但不要依赖它隐藏信息(易被查看)。