«

站长切记:请勿将重要配置文件备份为.bak后缀

admin 发布于 2015-9-19 18:54   7088 次阅读   网络安全   


很多站长有这样一个习惯,更改网站配置文件之前将原始文件重命名来备份,例如将config.php重命名为config.php.bak,殊不知这样一个小小的细节就给黑客留下了可乘之机,站长们可以做如下实验:


1、将您网站根目录下任意.php文件重命名为.php.bak,例如将config.php重命名为config.php.bak


2、然后您在浏览器中输入http://你的网站域名/config.php.bak


3、看到没?PHP文件里面所有的信息都显示出来了有没有?或者是可以下载!但是你直接访问 http://你的网站域名/config.php (非入口文件)是看不到里面的代码的!

所以,黑客就利用了站长们这点不好的习惯,对网站的可能的配置文件进行扫描,如下图某网站安全软件拦截信息:00.jpg

确实是这样的,不相信的可以自己测试。当然你还可以测试你想要下载的文件,比如说模板文件,js,等等,这里不多说,请自行摸索。

所以我们在可以修改备份文件名后缀,或者是使用防护软件进行防护。

原文地址:http://blog.ailab.cn/post/129

渗透测试 黑客 web安全 社工 入侵

版权所有:Mrxn's Blog
文章标题:站长切记:请勿将重要配置文件备份为.bak后缀
文章链接:https://mrxn.net/netsafe/get-back-hack.html
本站文章均为原创,未经授权请勿用于任何商业用途

扫描二维码,在手机上阅读

推荐阅读:

收到2条评论
avatar
mkhj_re 2015-09-22 19:36
确实 感谢博主分享心得 经验!
回复
commentator
Mrxn 2015-09-22 19:40
@mkhj_re:不客气!
回复