这篇博客探讨了Web服务器中 bak 文件的安全隐患。作者通过跟随别人的步骤完成了一个实验,了解到 bak 文件通常是网站管理员为防止修改错误而创建的源代码备份。由于服务器配置问题,这些备份文件可能直接可被下载,暴露网站的部分源码。实验中,通过访问index.php.bak来访问bak文件。未来,作者计划深入研究如何寻找未知备份文件以及服务器对文件的处理方式。
题做出来了,不过也完全是跟着其他人的步子一步一步做出来了。自己倒是没动多少脑子,感觉也没有从中获取到什么有用的知识所以打算写一些博客来进行讨论,增进理解。
这个实验目的的话应该主要是告诉我们有bak文件这么个东西,并且其存在漏洞。至于啥是bak文件我就直接套用另外一个博主的话。"有些时候网站管理员可能为了方便,会在修改某个文件的时候先复制一份,将其命名为xxx.bak。而大部分Web Server对bak文件并不做任何处理,导致可以直接下载,从而获取到网站某个文件的源代码。"服务器上的网站管理者在修改文件的时候为了防止修改错误会复制一份文件,将这份文件的名字改为xxx.bak。至于为啥要改成这个名字,等我以后查到了再说。而因为web服务器工作机制的问题它不会对文件做任何处理,至于服务器会对文件做哪些处理等我以后查到了再说。反正因为复制的这个文件web服务器没有处理导致了它可以直接被下载。这样我们就可以通过这个文件直接查看一部分的源码了。因为实验里本身就给了我们这个备份文件的文件名叫index.php所以我们直接在这个文件后面加上bak构成index.php.bak(我也不知道为啥是直接加在php文件后面的)然后打在网址后面就可以访问这个bak文件就可以了。至于假如不知道备份文件的文件名如何查找等我以后知道了在说。
扫一扫
3161
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
