信息泄漏

信息泄漏哪些不得不说的事！

信息泄漏常见项

默认页面

• phpinfo()：php的测试文件
• test.cgi：cgi测试文件
• WEB-INF泄漏：java web应用的安全目录

WEB-INF/web.xml：如果想要在页面中直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问
WEB-INF/classes/：包含了站点所有的class文件，包括servlet class和非servlet class，他们不能包含在.jar文件中
WEB-INF/lib/：存放web应用所需的各种jar文件，如：数据库驱动jar文件
WEB-INF/src/：源码目录，按照包名结构放置各个java文件
WEB-INF/database.properties：数据库配置文件

• server-status：Tomcat服务器状态
• phpmyadmin：MySQL数据库web管理界面
• http认证页面

代码管理工具

• svn：.svn/entries 利用工具
• git：.git/config 利用工具
• hg：.hg 利用工具
• cvs：CVS/entries 利用工具
• bzr：.bzr 利用工具
• DS_Store：.DS_Store 利用工具

备份文件

rar、zip、7z、tar、gz、tar.gz、bak、backup、swp、old、txt、doc/docx等等

目录遍历

管理后台

• 隐藏较深的目录
• 其他端口上的管理后台

错误信息详情

• 服务器版本信息
• 中间件信息
• 服务器web目录地址

JS敏感信息泄漏

原文地址

github信息泄漏

与github信息泄漏同类型的还有：云盘、U盘、在线笔记