360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

发现SVN版本控制信息文件

WASC Threat Classification

发现时间:

2016-09-01

漏洞类型:

信息泄露

所属建站程序:

其他

所属服务器类型:

通用

所属编程语言:

其他

描述:

目标存在SVN版本控制信息文件。

SVNSubversion的简称,是一个开放源代码的版本控制系统,它采用了分支管理系统。SVN用版本控制信息文件进行源码修改跟踪,攻击者可能从SVN创建的隐藏信息目录中提取敏感信息加以利用进行攻击。

验证方式:

打开目标页面验证是否是SVN版本控制信息文件页面。

示例:

危害:

攻击者可能从SVN创建的隐藏信息目录中提取敏感信息,导致您开发的商业代码泄漏。

该文件的存在通常意味着像.svn这样的目录中保存着相关网页代码的副本。攻击者通过提取分析可能获取当前网页程序的全部源码,源码中可能保存着后台数据库的用户名、密码或其它敏感信息,使攻击者完全控制目标站点。同时攻击者分析源码会更容易找到一些新的安全漏洞,然后实施进一步的攻击。

解决方案:

1.设置SVN密码、设置匿名访问用户的权限为none
2.发布代码时使用svn export导出,而不要使用svn co检索,防止泄露目录结构
svn export使用示例:
svn  export  [-r 版本号]  http://路径 [本地目录全路径]--username 用户名
svn  export  [-r 版本号]  svn://路径 [本地目录全路径]--username 用户名
svn  export  本地检出的(即带有.svn文件夹的)目录全路径  要导出的本地目录全路径

3.如果线上的生产环境已经有了.svn目录不想删掉可以在服务器上设置禁止访问此目录:

Apache:设置.htacess
Order allow,deny
Deny from all

Nginx:设置配置文件:
location ~ ^(.*)\/\.svn\/ {
return 404;
}

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论