用户登陆
站点日历
日志搜索
站点统计
最新评论
友情链接
其他信息
特点是访问网站中的特定目录或者文件。
这一类工具应该是通过特定目录和文件来确定网站系统程序,然后利用网站程序的漏洞进行攻击。
还有一些是访问git,vscode等代码管理工具的配置信息。
这一类的风险比较高,如果操作失误将帐号配置信息上传到网站上了就可能会导致信息泄漏。
然后引发更大的风险。
下面这样的地址(实际日志中的比较多,这里只简单列举几个例子):
https://www.rickw.cn/actuator/gateway/routes
https://www.rickw.cn/console/
https://www.rickw.cn/version
https://www.rickw.cn/Autodiscover/Autodiscover.xml
https://www.rickw.cn/wp-content/plugins/td-composer/license.txt
http://www.rickw.cn/wp-content/plugins/userpro/skins/elegant/style.css
https://www.rickw.cn/geoserver/web/
https://www.rickw.cn/static/admin/javascript/hetong.js
https://www.rickw.cn/Public/home/js/check.js
https://www.rickw.cn/WuEL
http://www.rickw.cn/telescope/requests
http://www.rickw.cn/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
https://www.rickw.cn/console/
https://www.rickw.cn/version
https://www.rickw.cn/Autodiscover/Autodiscover.xml
https://www.rickw.cn/wp-content/plugins/td-composer/license.txt
http://www.rickw.cn/wp-content/plugins/userpro/skins/elegant/style.css
https://www.rickw.cn/geoserver/web/
https://www.rickw.cn/static/admin/javascript/hetong.js
https://www.rickw.cn/Public/home/js/check.js
https://www.rickw.cn/WuEL
http://www.rickw.cn/telescope/requests
http://www.rickw.cn/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
上这些扫描应该是判断网站程序是什么系统。
下面是配置信息的扫描地址(这个安全隐患比较大,误操作的话就容易出现事故)
https://www.rickw.cn/.git/config
https://www.rickw.cn/core/.env
https://www.rickw.cn/.env
http://www.rickw.cn/config.json
http://www.rickw.cn/.DS_Store
http://www.rickw.cn/.vscode/sftp.json
https://www.rickw.cn/core/.env
https://www.rickw.cn/.env
http://www.rickw.cn/config.json
http://www.rickw.cn/.DS_Store
http://www.rickw.cn/.vscode/sftp.json
.env一般php开发框架都会在跟目录有一个,这里面可能会有配置数据库的连接帐号信息等。
.git .DS_Store是源代码管理工具的配置文件。
如果你的网站使用了通过源代码管理工具自动更新的话,这里面可能会有源代码管理系统的帐号密码。
.vscode这个,如果你使用vscode开发,并通过vscode上传代码到服务器,可能会设置了服务器的sftp帐号信息。
对于这一类我们可以提前进行预防,在nginx中配置 "." 点开头的文件夹和文件禁止访问。
然后对于网站中有json配置的,也可以预防禁止访问json文件。
| [复制到剪贴板] |
location ^~ /. {
deny all;
}
上面的写法会禁止网站根目录下的.文件和目录。
如果还要禁止子目录,可以采用正则表达式的写法。
| [复制到剪贴板] |
location ~ (.*)/\.(.+) {
deny all;
}
禁止json文件的写法:
| [复制到剪贴板] |
location ~ (.*)\.json {
deny all;
}
