谈谈源码泄露 · WEB 安全

一、漏洞成因

在 WEB 安全体系当中，可能你对 SQL 注入，XSS 跨站一些漏洞已经耳熟于心了，而源码泄露问题对于大部分开发者来说就相对陌生了 , 而源码泄露导致的问题却并不少见，在过往的泄露案例当中，不仅是小网站有此问题，在一些大的厂商同样出现不少，并因此拿到 webshell。

比如在一些小型企业，可能公司并没有专门的服务器，而是把网站部署在某一个虚拟主机上面，代码文件比较多的时候 FTP 上传是比较慢的，于是开发者把代码先打包压缩后再上传，上传成功后再去服务器解压，这有虽然解决了上传速度慢的问题，不过却留下了一些安全隐患。

压缩包解压后如果没有删除，当攻击者发现后就可以把代码压缩包下载；因为部署到服务器上的都是源代码，这个时候攻击者就可以通过代码进一步挖掘一些安全漏洞：文件上传，SQL 注射等。

二、GIT 源码泄露

1. 漏洞成因

当在一个空目录执行 git init 时，Git 会创建一个 .git 目录。 这个目录包含所有的 Git 存储和操作的对象。 如果想备份或复制一个版本库，只需把这个目录拷贝至另一处就可以了。

该目录的结构如下所示：

HEAD config* description hooks/ info/ objects/ refs/

在这些结构中 description 文件仅供 GitWeb 程序使用，我们可以无需关心。

• config 文件包含项目特有的配置选项；

• info 目录包含一个全局性排除（global exclude）文件，用以放置不希望被记录在 .gitignore 文件中的忽略模式（ignored patterns）；

• hooks 目录包含客户端或服务端的钩子脚本（hook scripts）。

而在剩下的四个条目很重要：

• HEAD 文件指示目前被检出的分支；

• index 文件保存暂存区信息；

• objects 目录存储所有数据内容；

• refs 目录存储指向数据（分支）的提交对象的指针。

而在发布代码的时候，如果没有把 .git 这个目录删除，直接发布到了运行目录中。攻击者就可以通过这个文件夹，可以用来恢复源代码。

http://www.localhost.test/.git/config

通常会用到的利用工具 GitHack ，这个工具下载下来之后操作也特别简单。

GitHack.py    http://www.localhost.test/.git/

它能解析 .git/index 文件，并找到工程中所有的：文件名和文件 sha1，然后去 .git/objects/ 文件夹下下载对应的文件，通过 zlib 解压文件，按原始的目录结构写入源代码。

2. GIT 源码泄露  案例

2015 年 5 月，乌云白帽子 “lijiejie” 提交漏洞 “大众点评某站点 git 泄漏源代码”，缺陷编号：wooyun-2015-0117332

在此次案例当中，白帽子发现 URL（http://qq.m.dianping.com/.git/ ）可以访问，于是通过工具 githack 下载里面的文件，下面为 githack.py 执行中的截图：

源码被下载下来之后，白帽子打开其中的一个代码文件可以看到里面的源码：

三、SVN 导致文件泄露

1. 漏洞成因

SVN 是 Subversion 的简称，是一个开放源代码的版本控制系统，相较于 RCS、CVS，它采用了分支管理系统，它的设计目标就是取代 CVS。互联网上很多版本控制服务已从 CVS 迁移到 Subversion。

很多网站都使用了 svn 版本控制系统，和使用 git 版本控制器类似，很多开发者网站安全意识不足，代码放到生产坏境中后，没有清理 svn 的一些信息，导致 svn 残留，因此攻击者可以使用工具 dvcs-ripper 下载网站源码。

此工具的 Github 地址：https://github.com/kost/dvcs-ripper。

利用命令如下：

rip-svn.pl -v -u http://www.localhost.test/.svn/

2. SVN 源码泄露案例  案例

2015 年 10 月，乌云白帽子提交漏洞 “我爱我家某处源码泄露”。缺陷编号：wooyun-2015-0149331

在我爱我家有一处域名为 data.5i5j.com , 白帽子发现下面的地址可以访问到：

http://data.5i5j.com/sitemetrics/.svn/entries

白帽子知道使用 svn 版本控制器会在目录中生成 .svn 文件夹，于是猜测该处存在源码泄露问题，于是使用工具 dvcs-ripper 对其进行了一番验证，验证证实了最初的猜测，并得出了下面的目录以及代码文件。

在文件目录中，发现一个文件名比较敏感，对其打开查看发现里面包含了数据库地址，用户名，密码等信息。

四、DS_Store 文件泄漏

1. 漏洞成因

.DS_Store 文件 MAC 系统是用来存储这个文件夹的显示属性的：比如文件图标的摆放位置。如果用户删除以后的副作用就是这些信息的失去。

这些文件本来是给 Finder 使用的，但它们被设想作为一种更通用的有关显示设置的元数据存储，诸如图标位置和视图设置。 当你需要把代码上传的时候，安全正确的操作应该把 .DS_Store 文件删除才正确。

因为里面包含了一些目录信息，如果没有删除，攻击者通过 .DS_Store 可以知道这个目录里面所有文件名称，从而让攻击者掌握了更多的信息。　

在发布代码时未删除文件夹中隐藏的 .DS_store，被发现后，获取了敏感的文件名等信息。攻击者可以利用访问 URL（http://www.localhost.test/.ds_store ）的方式来判断，是否存在DS_store泄露，如果存在泄漏，使用工具：dsstoreexp，就可以轻松的下载出源代码。

如下面的命令：

ds_store_exp.py http://www.localhost.test/.DS_Store

2. .DS_Store 泄露 案例

2015 年 9 月，乌云白帽子 “深度安全实验室” 提交漏洞 “TCL 某网站 DS_Store 文件泄露敏感信息（谨慎使用 Mac 系统）”，缺陷编号：wooyun-2015-091869

在 TCL 可视化系统事业部网站中，把苹果的隐藏文件 DS_Store 也给搬到生产坏境中 , 导致泄露了目录结构，从而获取到后台管理页面以及数据库文件。打开文件 http://www.tcl-cctv.com/.DS_Store 可以看到下面的内容。

通过图中的内容可以看到两处比较敏感的文件，tel_manage.php 以及 tcl_cctv.sql。于是白帽子通过此处泄露的信息，猜测到网站后台地址为：

http://www.tcl-cctv.com/tcl_manage.php

以及数据库文件 URL：

http://www.tcl-cctv.com/tcl_cctv.sql

打开数据库文件对应的 URL，在其中可以找到后台管理员账户和密码：

用户名：admin 密码：c5b5ae8bdfccc8beefec ，通过 cmd5.com 解密后，可以得到真实的密码。

在后台 URL 中，输入账号密码，可以看见下图已经登录成功。

五、网站备份压缩文件

1. 漏洞成因

在网站的升级和维护过程中，通常需要对网站中的文件进行修改。此时就需要对网站整站或者其中某一页面进行备份。

当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 web 目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露，给服务器的安全埋下隐患。

该漏洞的成因主要有是管理员将备份文件放在到 web 服务器可以访问的目录下。

该漏洞往往会导致服务器整站源代码或者部分页面的源代码被下载，利用。源代码中所包含的各类敏感信息，如服务器数据库连接信息，服务器配置信息等会因此而泄露，造成巨大的损失。

被泄露的源代码还可能会被用于代码审计，进一步利用而对整个系统的安全埋下隐患。

.rar   .zip  .7z   .tar.gz   .bak    .swp   .txt

2. 备份压缩文件 案例

2014 年 5 月，乌云白帽子 “Noxxx” 提交漏洞 “百度某分站备份文件泄露”，缺陷编号：wooyun-2014-050622

百度网盟的 URL 地址是：

http://wm123.baidu.com

白帽子无意中发现在 URL 加上域名 +.tar.gz 也就是 URL：

http://wm123.baidu.com/wm123.tar.gz

没想到就下载了网站源码；在其源码中还发现了数据库的链接地址，以及账号信息，如下图：

六、WEB-INF/web.xml 泄露

1. 漏洞成因

WEB-INF 是 Java 的 WEB 应用的安全目录。该目录原则上来说是客户端无法访问，只有服务端才可以可以访问。如果想在页面中直接访问其中的文件，必须通过 web.xml 文件对要访问的文件进行相应映射才能访问。

WEB-INF 主要包含一下文件或目录：

• /WEB-INF/web.xml：Web 应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则；

• /WEB-INF/classes/：含了站点所有用的 class 文件，包括 servlet class 和非 servlet class，他们不能包含在 .jar 文件中；

• /WEB-INF/lib/：存放 web 应用需要的各种 JAR 文件，放置仅在这个应用中要求使用的 jar 文件 , 如数据库驱动 jar 文件；

• /WEB-INF/src/：源码目录，按照包名结构放置各个 java 文件；

• /WEB-INF/database.properties：数据库配置文件。

不过在一些特定的场合却会让攻击者能读取到其中的内容，从而造成源码泄露。

2. WEB-INF 目录配置漏洞 案例

2013 年 2 月，乌云白帽子 “Asuimu” 提交漏洞 “华为官网 WEB-INF 目录配置文件导致信息泄露”，缺陷编号：wooyun-2013-022906

在该漏洞中由于目录权限未做好控制，导致网站配置信息泄露以及源码泄露问题。

此漏洞的 WEB-INF 目录位置 URL 为：

http://enterprise.huawei.com/topic/hcc/WEB-INF/

白帽子首先寻找配置文件（web.xml）的位置，通过 web.xml 的位置得到 URL 为：

http://enterprise.huawei.com/topic/hcc/WEB-INF/web.xml

访问 URL 后，能看到如上图中的内容，白帽子发现有一个 classes/applicationContext.xml 文件；访问此文件对应的 URL 后，又从此文件中中找到了数据库配置文件 db-config.xml 的路径。

打开 db-config.xml 对应的 URL 后，能看到 mysql 的连接信息，比如 root Huawei!2012 localhost 等等信息。不过因为数据库限制只能本地连接，所以白帽子并没有连接上数据库。

通过此漏洞还下载了部分源码，比如 URL：

http://enterprise.huawei.com/topic/hcc/login.jsp

对应下图中的源码：

七、防御方案

从上面的五种泄露方式可以看出，大部分情况都是代码上传后没有及时清理附带信息所造成的。

因此我建议代码发布尽量使用工具 rsync 来发布，因为此工具同步时可以排除一些目录或者文件，比如要排除所有 .svn 文件，可以如下面的命令行来排除，git 同理。

rsync -avlH --exclude=*.svn  root@192.168.1.100:~/tmp/  /data/version/test/

如果不能生产坏境不能使用 rsync，也给大家几点小建议：

1. Git 在仓库的根目录新建一个文件夹，把代码放入此文件夹中，网站的根目录应该指向此文件夹。这样攻击者就不能访问到 .git 文件夹的内容了。

2. 不要直接使用 git 或 SVN 等工具拉去代码到生产目录，可以在一个临时目录先拉去下来，把其中的一些版本控制器附带信息都去掉后再同步到生产目录。

3. 使用 mac 系统的开发者需要注意不要把 .ds_store 文件上传上去，因为里面包含在一些目录信息，会导致文件名称泄露

4. Web 生产目录中不要存放代码压缩文件，这些文件极有可能被攻击者所发现，而下载下来。

--------------------- 作者：GitChat技术杂谈 来源：CSDN 原文：https://blog.csdn.net/gitchat/article/details/79014538?utm_source=copy 版权声明：本文为博主原创文章，转载请附上博文链接！