网络安全学习之信息泄露

一、背景以及泄露途径

通常我们会对数据进行备份，比如我们在发布网站的时候会对将要替换的版本进行备份。我们在对重要文件进行修改的时候我们也需要进行备份，如果我们对备份或缓存的文件或信息为做好管理，很容易就导致我们的敏感信息泄露。
那么在网络安全中信息泄露的途径特别多，就包括：网站源码、bak文件 、vim缓存、.DS_Store等等
常见的网站信息泄露就比如：当开发人员在线上环境中对源代码进行了备份操作，开发人员图方便将备份文件放在了 web 目录下，就会引起网站源码泄露。

二、泄露信息发现

我们又怎么去知道哪些信息泄露了呢？通常我们可以使用一些工具：

2.1 对于网站信息扫描

对于网站信息，我们可以使用dirsearch工具

    python3 dirsearch.py -u url -e * 

就可以对特定url网站进行目录扫描，找出一些隐藏的目录

2.2 对于版本管理git信息扫描

对于我们常用的版本管理工具git，我们可以使用GitHacker 探测是否有隐藏信息

   python3 GitHacker.py url/.git

常见的git查看隐藏信息的命令有：
git log 查看git提交信息
git reset --hard git提交的id’
git stash pop stash 是git的堆栈区

2.3 对于版本管理svn

SVN泄露 会有一个.svn文件夹
使用dirsearch扫描
git clone https://github.com/kost/dvcs-ripper
使用 dvcs-ripper
脚本： ./rip-svn.pl -v -u url/.svn/

2.4 对于分布式版本工具hg

hg泄露，hg是一个分布式版本控制工具，Mercurial分布式版本控制系统，主程序名字是hg，所以简称hg，它是基于python的
./rip-hg.pl -v -u url/.hg

2.5 对于文件隐藏信息

查看文件隐藏泄漏的信息，除了可以直接看文档内容之外，我们还可以借助foremost工具，这是查看文件中是否隐藏了其他文件的方法

三、防范未然

从第二章，我们可得出，信息泄露分为无意和故意两种情况，无意即不小心，由于使用的工具存在缓存，或者这个工具记录了提交信息。另一种就是有意，这是出于某种目的将信息传递出去，比如在一个word文档中隐藏了另外一个资源。那么我们在防止信息泄露过程中，一方面，要规范工具使用流程和使用要求，避免由于工具导致信息泄露。另外一方面，我们要加强对人员的教育，规范操作和信息追踪，以防止人员故意将信息泄露。

四、总结

安全和防护，就像矛和盾的较量，“道高一尺魔高一丈”，是完全没有终点的。今天分享了信息泄露的部分途径，这些途径泄露信息是比较隐蔽的，需要一定的技术能力才能进行追踪。