# 成因:
* 網站配置錯誤
* 網站的歷史遺留問題
* 企業員工的安全意識不足(弱口令,代碼托管在github上)
* 安全性缺陷
# 分類及利用:
* 安全性缺陷:SQL注入,越權,等
* 備份文件:包含敏感信息的文件被下載(掃描備份字典)
* 目錄遍歷:工具掃描(信息上傳處易出問題)
* 第三方:代碼托管
# 實例:
* 郵箱系統后綴名被fuzz,通過添加特殊字符串, 可直接下載index.php的源碼,進而進行代碼審計,找到配置文件下載
* 平臺由php切換成ASPX,歷史站點被遺留在了一個目錄上,而php已經不被解析,可直接查看源碼
# 工具推薦:
* weakfilescan
* GitMiner
* GitPrey
* dirb
* FUZZDB
# 防御:
定期對員工進行安全意識我的培訓。具體的話,針對攻擊的方式。
