Web服务器 .svn隐藏文件夹漏洞修复和杜绝

Web服务器 .svn隐藏文件夹漏洞利用、修复和杜绝

在SVN的使用中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息,如果在发布代码时,直接复制代码文件夹到Web服务器,同时.svn隐藏文件夹也被上传到程序根目录,可以利用.svn/entries文件,获取到服务器源码、svn服务器账号密码等信息。

隐藏文件夹是怎么来的?

** 从svn获取发布版本时,没有正确使用svn导出功能导致!

黑客是如何利用svn隐藏文件漏洞的?

  • 1、漏洞利用工具:Seay SVN漏洞利用工具
  • 2、添加网站url,在被利用的网址后面加/.svn/entries就能列出来网站目录,甚至下载整站

修复漏洞

  • 在web服务器配置文件中增加一段代码,过滤到.svn文件,返回404
# nginx服务器:

location ~ ^(.*)\/\.svn\/
{
return 404;
}
# 更改完成,重启nginx

#Apache服务器:

<Directory ~ "\.svn">
Order allow,deny
Deny from all
</Directory>

# 更改完成,重启apache
  • 查找服务器上所有.svn隐藏文件夹,删除

依次执行下面命令,在项目目录下删除.svn文件夹

# 以web根目录/data/www/ 为例

find . -type d -name ".svn"|xargs rm -rf
rm -rf `find . -type d -name .svn`
find . -name ".svn" -type d | xargs rm -fr
find . -name ".svn" -type d | xargs -n1 rm -R
  • 使用脚本一次性删除.svn目录
#!/bin/sh
cd /data/www
find ./ -name ".svn" | xargs -n1 echo > /dev/null 2>&1
find ./ -name ".svn" -print0 | xargs -0 rm -fr
if [ $? -ne 0 ]; then
echo "remove .svn dirs failed!"
fi

脚本执行完成,会自动删除/data/www目录及子目录所有.svn隐藏文件夹

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏漏斗社区

WordPress _v4.6远程代码执行漏洞复现

reborn WordPress _v4.6远程代码执行漏洞是PHPMailer漏洞(CVE-2016-10033)在WordPress Core代码的体现,...

3949
来自专栏Youngxj

php在线扫描ip端口工具源码分享

1717
来自专栏农夫安全

文件上传漏洞超级大汇总-最最终篇

18、文件名大小写绕过上传限制 1. 首先访问网站页面,如下图: ? 1. 上传一个test.php文件,发现弹出窗口禁止php上传。如下图所示: ? 1. ...

4858
来自专栏技术博客

Google免费的SVN服务器管理VS2010代码

Google免费为我们提供了代码管理的SVN服务器。首先我这里用的Win7 64的电脑系统,用VS2010进行的代码开发。这里管理代码需要以下准备(现在用的都是...

751
来自专栏我的博客

安全保护措施

1、系统安全记录文件 查看登陆失败的记录 more /var/log/secure |grep Failed 2、禁止使用ctrl+alt+delete重启...

3258
来自专栏Java成神之路

Chrome_01_点击 Google搜索结果在新的页面打开

Chrome浏览器中,通过 Ctrl + 左键 ,是在新标签中打开的,通过 Shift + 左键 ,是在新窗口中打开的。

842
来自专栏pydata

use python in windows

此网站上面有编译好了的各种python windows包. 我们首先下载libxml2-python 然后使用pip wheel安装:

984
来自专栏白驹过隙

Jenkins - 持续集成环境搭建

1335
来自专栏ytkah

dedecms如何去除后台登陆验证码

  用dedecms批量建站一般直接把文件打包复制,然后导入数据库,一个新网站就好了,但有时后台一直无法登录,提示验证码错误。那我们就想怎么把验证码关闭,现在就...

3057
来自专栏信安之路

Linux渗透测试

最近发现了一个不错的靶场,里面各种渗透测试的虚拟机,大家可以下载进行尝试学习。还有就是一个漏洞利用存档,可以找到很多我们可以利用的学习的东西。

1000

扫码关注云+社区