## 源碼泄露 ### 常見源碼泄露 ~~~ /.bzr/ /CVS/Entries /CVS/Root /.DS_Store MacOS自動生成 /.hg/ /.svn/ (/.svn/entries) /.git/ /WEB-INF/src/ /WEB-INF/lib/ /WEB-INF/classes/ /WEB-INF/database.properties /WEB-INF/web.xml Robots.txt ~~~ 上述源碼泄露在Github上都可以找到相應的利用工具 ### A 網頁掃描 通過掃描器掃描web站點，看是否有源碼相關目錄被泄漏，如有，再通過特殊工具恢復 工具如：**破殼web掃描器**、**御劍掃描器** ### B github類信息泄漏 GitHub敏感信息泄露一直是企業信息泄露和知識產權泄露的重災區，安全意識薄弱的同事經常會將公司的代碼、各種服務的賬戶等極度敏感的信息『開源』到github中，github也是黑、白帽子、安全工程師的必爭之地。 **全自動監控github**：https://sec.xiaomi.com/article/37 **GitHub敏感信息泄露監控**：[GSIL](https://github.com/FeeiCN/GSIL)、[Github-Monitor](https://github.com/VKSRC/Github-Monitor) 在GitHub中一般通過搜索網站域名、網站JS路徑、網站備案、網站下的技術支持等進行敏感信息查詢 ### C 社工方式收集 還可以在QQ群備注或介紹等，甚至混入企業qq工作群查找，這設計社工范疇了 ### D 源碼泄露利用工具 * .git源碼泄露：[https://github.com/lijiejie/GitHack](https://github.com/lijiejie/GitHack) * .DS\_Store泄露：[https://github.com/lijiejie/ds\_store\_exp](https://github.com/lijiejie/ds_store_exp) * .bzr、CVS、.svn、.hg源碼泄露：[https://github.com/kost/dvcs-ripper](https://github.com/kost/dvcs-ripper)