PHP审计之源码泄露

一、SVN源码

SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。”(可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息)

更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本<=1.6 ,SVN具体路径为text-base目录,高版本>1.6 SVN为pristine目录,下载wc.db后从NODES表中找到文件名和其sha1值,最后构造下载链接:domain/.svn/pristine/"XX"/"CHECKSUM),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。

svn 和git泄露

常见源码泄露

你可能感兴趣的:(PHP审计之源码泄露)