造成SVN源代碼漏洞的主要原因是管理員操作不規範。在使用SVN管理本地代碼過程中,會自動生成一個名爲.svn的隱藏文件夾,其中包含重要的源代碼信息。但一些網站管理員在發佈代碼時,不願意使用“導出”功能,而是直接複製代碼文件夾到WEB服務器上,這就使.svn隱藏文件夾被暴露於外網環境,黑客可以利用該漏洞下載網站的源代碼,再從源代碼裏獲得數據庫的連接密碼;或者通過源代碼分析出新的系統漏洞,從而進一步入侵您的系統。
安全建議:刪除指定SVN生成的各種文件,如“/.svn/entries”等。
當前大量開發人員使用git進行版本控制,對站點自動部署。如果配置不當,可能會將.git文件夾直接部署到線上環境。這就引起了git泄露漏洞。黑客可以直接從泄露的源碼中獲取敏感配置信息(如:郵箱,數據庫),也可以進一步審計代碼,挖掘文件上傳、SQL注射等安全漏洞。
安全建議:刪除指定GIT生成的各種文件,如”/ .git/index”等。
工具推薦:
SVN源代碼泄露利用工具:Seay-Svn源代碼泄露漏洞利用工具
GIT源代碼泄露利用工具:GitHack.py