【第七天 - 常见文件泄漏】

Q1. 常规文件是什麽?

网页专案中，有许多工程师惯用的文件命名方式，这些文件可能暗藏网页的相关资讯，甚至泄漏原始码，於是我们可以使用目录字典来搜寻，找到这些隐藏的文件。

Q2. 为什麽会有 常规文件 的问题?

• 在工程师撰写专案时，可能会在专案目录中生成各种压缩档、Readme 等。
• 这些资料可能纪录着专案的版本资料、程序逻辑等，若不慎将其公开，骇客便可以读取/下载其中的内容。

Q3. 常规文件泄漏类型

常规文件有许多种，主要依靠经验或字典档暴力搜寻来进行，以下简单举例三类：

• 搜寻引擎相关：
  • robots.txt : 用於纪录禁止搜寻引擎爬虫抓取的档案或目录，而不允许搜寻引擎抓取的目录时常也比较敏感。CTF 时常可见这类题目。
• 专案开发相关：
  • [README.MD](http://readme.MD) 、 [README.md](http://readme.md) 、 README ：专案开发时常见的文件，用於纪录版本资讯、使用方法等，可能泄漏专案的相依套件，甚至是 GitHub 网址。
• 备份相关：

  • 常见的压缩档名如下，可能在其中包含网页原始码：

    www.zip
    www.rar
    www.zip
    www.7z
    www.tar.gz
    www.tar
    
    web.zip
    web.rar
    web.zip
    web.7z
    web.tar.gz
    web.tar
    

参考资料： https://www.gushiciku.cn/pl/gXV5/zh-tw

Q4. 常规文件搜寻工具

• https://github.com/maurosoria/dirsearch
• dirb