Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Search
Lex Chien
May 26, 2013
Technology
1
150
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Lex Chien
May 26, 2013
Tweet
Share
More Decks by Lex Chien
See All by Lex Chien
樹木心理測驗
lexchien
0
5.3k
SEO在做些什麼
lexchien
1
630
Other Decks in Technology
See All in Technology
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
iselegant
17
5.7k
Amazon Bedrockで実現する 新たな学習体験
kzkmaeda
2
580
Liquid Glass革新とSwiftUI/UIKit進化
fumiyasac0921
0
230
Github Copilot エージェントモードで試してみた
ochtum
0
110
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
15
5.3k
生成AI時代 文字コードを学ぶ意義を見出せるか?
hrsued
1
570
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
230
CI/CD/IaC 久々に0から環境を作ったらこうなりました
kaz29
1
180
Witchcraft for Memory
pocke
1
420
エンジニア向け技術スタック情報
kauche
1
270
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
nwiizo
4
2.2k
Javaで作る RAGを活用した Q&Aアプリケーション
recruitengineers
PRO
1
120
Featured
See All Featured
Gamification - CAS2011
davidbonilla
81
5.3k
Rails Girls Zürich Keynote
gr2m
94
14k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Site-Speed That Sticks
csswizardry
10
660
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
657
60k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
5
220
Testing 201, or: Great Expectations
jmmastey
42
7.5k
Embracing the Ebb and Flow
colly
86
4.7k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.8k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
161
15k
Transcript
技高一籌,還是人為疏失 由 gov.ph 窺探 vim 疏忽 <
[email protected]
>
VIM 有不少人,都會偏好 vim 來進行開發寫程式的習慣 那你有沒有注意過在寫php時候所產生的備份檔 例如 http://xxx.com/xxx.php~ 這種檔案結尾的php一般都是vim 所自動產生出來的備份檔 你有沒有想過這樣的檔案有一天成為你網站的漏洞主要來源
而且還是透漏所有source code.... 以下以 http://dns.gov.ph/ 網站為例
gov.ph
前端 有寫過程式都是,後端的程式碼在前端不太會被讀取出來 甚是顯示在面上 一般在網頁上 點選右鍵 -> 查看原始碼 這種動作的情況所能看到的原始碼都是 html,js,css 這
前端的source code 但如果有一天你寫的 php 在前端能被讀取出來時候,如果 是個開發者你作何感想?
不能說的秘密 vim所產生的 備份檔就是如此 例如 http://dns.gov.ph/ajaxResponse/modReqs.php 打 開的頁面空白一片 既沒有錯誤訊息,也沒有404,這就表示這頁很有可能是一 支邏輯判斷的php 那在結尾嘗試加上
"~" 修改後為 http://dns.gov.ph/ajaxResponse/modReqs. php~如此將會得到這支php的原始碼....
source code
習慣成自然 寫程式都知道,主網站最重要的就是DB 資料庫的帳號密 所以在設定的帳號密碼那隻的php也格外重要,但很多都會 “偷懶“ 把檔名取為 connect.php connection.php.....等等等諸如此 的檔名 如此在進行猜測的時候也很容易進行猜測
繼續挖掘 同上繼續用gov.ph為例 例如 http://dns.gov.ph/process/connection.php 這裡打開頁面也是空的,沒關係今天再嘗試在結尾中加上 "~“ 那麼將會得到 http://dns.gov.ph/process/connection.php~ 點擊打開後頁面將會得到DB所有的位置和帳號密碼
帳密圖示
結論 BTW.....你以為你用notpad++就不會有這樣問題嗎.....? 手法不是新一定最好,而是有用才是上上策
About me X = { µɛ }F³ • Lex Chien
• this’s my website -- http://www.xsoin.com This’s my class This’s my function This’s my world style