← 返回敏感信息泄露

⚙️ 实验三:配置文件暴露

⚠️ 漏洞场景

配置文件、环境变量、源码等敏感文件可被直接访问

🎮 模拟攻击

攻击者常尝试访问的敏感路径:

泄露内容

选择上方文件查看内容...

📋 常见敏感文件

文件内容危害等级
.env环境变量、密钥🔴 严重
.git/configGit 仓库信息🟠 高
config.json应用配置🔴 严重
*.bak, *.old备份文件🟠 高
package.json依赖版本🟡 中

🛡️ 防御措施

# Nginx 配置
location ~ /\. {
  deny all;  # 禁止访问隐藏文件
}

location ~* \.(env|config|bak|old|sql)$ {
  deny all;  # 禁止访问敏感扩展名
}

# .gitignore
.env
*.bak
config/*.json