Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Search
Lex Chien
May 26, 2013
Technology
1
160
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Lex Chien
May 26, 2013
Tweet
Share
More Decks by Lex Chien
See All by Lex Chien
樹木心理測驗
lexchien
0
5.3k
SEO在做些什麼
lexchien
1
630
Other Decks in Technology
See All in Technology
allow_retry と Arel.sql / allow_retry and Arel.sql
euglena1215
1
160
企業の生成AIガバナンスにおけるエージェントとセキュリティ
lycorptech_jp
PRO
2
160
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
300
研究開発と製品開発、両利きのロボティクス
youtalk
1
510
JTCにおける内製×スクラム開発への挑戦〜内製化率95%達成の舞台裏/JTC's challenge of in-house development with Scrum
aeonpeople
0
190
COVESA VSSによる車両データモデルの標準化とAWS IoT FleetWiseの活用
osawa
1
260
【実演版】カンファレンス登壇者・スタッフにこそ知ってほしいマイクの使い方 / 大吉祥寺.pm 2025
arthur1
1
720
RSCの時代にReactとフレームワークの境界を探る
uhyo
10
3.3k
EncryptedSharedPreferences が deprecated になっちゃった!どうしよう! / Oh no! EncryptedSharedPreferences has been deprecated! What should I do?
yanzm
0
190
開発者を支える Internal Developer Portal のイマとコレカラ / To-day and To-morrow of Internal Developer Portals: Supporting Developers
aoto
PRO
1
440
大「個人開発サービス」時代に僕たちはどう生きるか
sotarok
20
9.7k
roppongirb_20250911
igaiga
1
200
Featured
See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
111
20k
Building a Modern Day E-commerce SEO Strategy
aleyda
43
7.6k
Stop Working from a Prison Cell
hatefulcrawdad
271
21k
Large-scale JavaScript Application Architecture
addyosmani
512
110k
What's in a price? How to price your products and services
michaelherold
246
12k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
1.1k
Faster Mobile Websites
deanohume
309
31k
It's Worth the Effort
3n
187
28k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
126
53k
The Straight Up "How To Draw Better" Workshop
denniskardys
236
140k
Building Applications with DynamoDB
mza
96
6.6k
Transcript
技高一籌,還是人為疏失 由 gov.ph 窺探 vim 疏忽 <
[email protected]
>
VIM 有不少人,都會偏好 vim 來進行開發寫程式的習慣 那你有沒有注意過在寫php時候所產生的備份檔 例如 http://xxx.com/xxx.php~ 這種檔案結尾的php一般都是vim 所自動產生出來的備份檔 你有沒有想過這樣的檔案有一天成為你網站的漏洞主要來源
而且還是透漏所有source code.... 以下以 http://dns.gov.ph/ 網站為例
gov.ph
前端 有寫過程式都是,後端的程式碼在前端不太會被讀取出來 甚是顯示在面上 一般在網頁上 點選右鍵 -> 查看原始碼 這種動作的情況所能看到的原始碼都是 html,js,css 這
前端的source code 但如果有一天你寫的 php 在前端能被讀取出來時候,如果 是個開發者你作何感想?
不能說的秘密 vim所產生的 備份檔就是如此 例如 http://dns.gov.ph/ajaxResponse/modReqs.php 打 開的頁面空白一片 既沒有錯誤訊息,也沒有404,這就表示這頁很有可能是一 支邏輯判斷的php 那在結尾嘗試加上
"~" 修改後為 http://dns.gov.ph/ajaxResponse/modReqs. php~如此將會得到這支php的原始碼....
source code
習慣成自然 寫程式都知道,主網站最重要的就是DB 資料庫的帳號密 所以在設定的帳號密碼那隻的php也格外重要,但很多都會 “偷懶“ 把檔名取為 connect.php connection.php.....等等等諸如此 的檔名 如此在進行猜測的時候也很容易進行猜測
繼續挖掘 同上繼續用gov.ph為例 例如 http://dns.gov.ph/process/connection.php 這裡打開頁面也是空的,沒關係今天再嘗試在結尾中加上 "~“ 那麼將會得到 http://dns.gov.ph/process/connection.php~ 點擊打開後頁面將會得到DB所有的位置和帳號密碼
帳密圖示
結論 BTW.....你以為你用notpad++就不會有這樣問題嗎.....? 手法不是新一定最好,而是有用才是上上策
About me X = { µɛ }F³ • Lex Chien
• this’s my website -- http://www.xsoin.com This’s my class This’s my function This’s my world style
lexchien
euglena1215
lycorptech_jp
zozotech
youtalk
aeonpeople
osawa
.jpeg){kind=avatar}
arthur1
uhyo
yanzm
aoto
sotarok
igaiga
panda_program
aleyda
hatefulcrawdad
addyosmani
michaelherold
sergeychernyshev
deanohume
3n
chriscoyier
aki_iinuma
denniskardys
mza
![技高一籌,還是人為疏失 由 gov.ph 窺探 vim 疏忽 <[email protected]>](https://files.speakerdeck.com/presentations/c700e210a857013031ad7ec8ca17f389/slide_0.jpg){kind=link}
