Este artículo para el laboratorio Divulgación del código fuente a través de archivos de copia de seguridad es parte de mi serie de tutoriales para la Academia de seguridad web de PortSwigger .

Ruta de aprendizaje : Temas del lado del servidor → Divulgación de información

Secuencia de comandos de Python: secuencia de comandos.py

Descripción del laboratorio

Pasos

A la hora de analizar una página web, uno de los primeros pasos siempre es comprobar la existencia de un robots.txtarchivo.

Es un archivo que solicita a los rastreadores de motores de búsqueda que incluyan o excluyan ciertas partes del sitio de su índice. A veces, los lugares interesantes se revelan de esa manera.

Depende del rastreador si obedece estos deseos o los ignora. Como el archivo es texto sin formato, lo mismo se aplica a cualquier persona que lo lea.

En este caso, apunta directamente al subdirectorio /backup(otros medios para descubrirlo serían herramientas como Burp Content Discovery, gobuster, wfuzz, ...)

Verificar el directorio muestra un archivo de respaldo para algún código Java:

En el código, se pueden encontrar las credenciales para las conexiones de la base de datos:

Después de enviar la hora de la solución, el laboratorio se actualiza a

Publicado originalmente en https://github.com .

New to Medium? Become a Medium member to access all stories on the platform and support me at no extra cost for you!

De Infosec Writeups: Cada día surgen muchas cosas en Infosec con las que es difícil mantenerse al día. ¡ Únase a nuestro boletín semanal para obtener las últimas tendencias de Infosec en forma de 5 artículos, 4 subprocesos, 3 videos, 2 repositorios y herramientas de GitHub y 1 alerta de trabajo GRATIS!