Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Search
Lex Chien
May 26, 2013
Technology
1
170
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
技高一籌,還是人為疏失,由 gov.ph 窺探 vim 疏忽
Lex Chien
May 26, 2013
Tweet
Share
More Decks by Lex Chien
See All by Lex Chien
樹木心理測驗
lexchien
0
5.3k
SEO在做些什麼
lexchien
1
640
Other Decks in Technology
See All in Technology
Bedrock PolicyでAmazon Bedrock Guardrails利用を強制してみた
yuu551
0
260
顧客の言葉を、そのまま信じない勇気
yamatai1212
1
370
Bill One急成長の舞台裏 開発組織が直面した失敗と教訓
sansantech
PRO
2
410
AzureでのIaC - Bicep? Terraform? それ早く言ってよ会議
torumakabe
1
620
OWASP Top 10:2025 リリースと 少しの日本語化にまつわる裏話
okdt
PRO
3
850
Cosmos World Foundation Model Platform for Physical AI
takmin
0
980
AWS Network Firewall Proxyを触ってみた
nagisa53
1
250
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
10k
SRE Enabling戦記 - 急成長する組織にSREを浸透させる戦いの歴史
markie1009
0
170
20260204_Midosuji_Tech
takuyay0ne
1
160
生成AIと余白 〜開発スピードが向上した今、何に向き合う?〜
kakehashi
PRO
0
170
生成AIを活用した音声文字起こしシステムの2つの構築パターンについて
miu_crescent
PRO
3
230
Featured
See All Featured
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
aleyda
1
1.9k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
1
300
How to train your dragon (web standard)
notwaldorf
97
6.5k
Java REST API Framework Comparison - PWX 2021
mraible
34
9.2k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.7k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
21k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
4.2k
A better future with KSS
kneath
240
18k
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
konakalab
0
350
Balancing Empowerment & Direction
lara
5
900
Google's AI Overviews - The New Search
badams
0
910
[SF Ruby Conf 2025] Rails X
palkan
1
760
Transcript
技高一籌,還是人為疏失 由 gov.ph 窺探 vim 疏忽 <
[email protected]
>
VIM 有不少人,都會偏好 vim 來進行開發寫程式的習慣 那你有沒有注意過在寫php時候所產生的備份檔 例如 http://xxx.com/xxx.php~ 這種檔案結尾的php一般都是vim 所自動產生出來的備份檔 你有沒有想過這樣的檔案有一天成為你網站的漏洞主要來源
而且還是透漏所有source code.... 以下以 http://dns.gov.ph/ 網站為例
gov.ph
前端 有寫過程式都是,後端的程式碼在前端不太會被讀取出來 甚是顯示在面上 一般在網頁上 點選右鍵 -> 查看原始碼 這種動作的情況所能看到的原始碼都是 html,js,css 這
前端的source code 但如果有一天你寫的 php 在前端能被讀取出來時候,如果 是個開發者你作何感想?
不能說的秘密 vim所產生的 備份檔就是如此 例如 http://dns.gov.ph/ajaxResponse/modReqs.php 打 開的頁面空白一片 既沒有錯誤訊息,也沒有404,這就表示這頁很有可能是一 支邏輯判斷的php 那在結尾嘗試加上
"~" 修改後為 http://dns.gov.ph/ajaxResponse/modReqs. php~如此將會得到這支php的原始碼....
source code
習慣成自然 寫程式都知道,主網站最重要的就是DB 資料庫的帳號密 所以在設定的帳號密碼那隻的php也格外重要,但很多都會 “偷懶“ 把檔名取為 connect.php connection.php.....等等等諸如此 的檔名 如此在進行猜測的時候也很容易進行猜測
繼續挖掘 同上繼續用gov.ph為例 例如 http://dns.gov.ph/process/connection.php 這裡打開頁面也是空的,沒關係今天再嘗試在結尾中加上 "~“ 那麼將會得到 http://dns.gov.ph/process/connection.php~ 點擊打開後頁面將會得到DB所有的位置和帳號密碼
帳密圖示
結論 BTW.....你以為你用notpad++就不會有這樣問題嗎.....? 手法不是新一定最好,而是有用才是上上策
About me X = { µɛ }F³ • Lex Chien
• this’s my website -- http://www.xsoin.com This’s my class This’s my function This’s my world style
lexchien
yuu551
yamatai1212
sansantech
torumakabe
okdt
takmin
nagisa53
fullkaiten
markie1009
takuyay0ne
kakehashi
miu_crescent
aleyda
jct
notwaldorf
mraible
bcantrill
panda_program
kastner
kneath
konakalab
lara
badams
palkan
![技高一籌,還是人為疏失 由 gov.ph 窺探 vim 疏忽 <[email protected]>](https://files.speakerdeck.com/presentations/c700e210a857013031ad7ec8ca17f389/slide_0.jpg){kind=link}
