.DS_Store文件泄漏

Posted ldhbetter

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了.DS_Store文件泄漏相关的知识,希望对你有一定的参考价值。

简介

最近使用扫描器xray对相关网站进行漏洞扫描的时候,扫描结果中显示有一条.DS_Store文件泄露。但是之前没有去了解过,在此记录一下该漏洞的检测方法。

.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。

如果开发/设计人员将.DS_Store上传部署到线上环境,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。

漏洞检测

1.漏洞检测工具:

https://github.com/lijiejie/ds_store_exp。

2.工具使用方法:

从github上下载工具到本地后,先安装需要的相关库文件

pip2 install -r .
equirements.txt

执行以下命令对.DS_Store文件进行解析

 python2 .ds_store_exp.py http://www.xxxx.com/website/face2face/01/pages/.DS_Store

技术图片

可以看到,通过解析.DS_Store文件可以获取到此目录下的目录结构,如备份文件、源码文件等。可用来进行信息收集。

.DS_Store文件泄漏利用工具: ds_store_exp

以上是关于.DS_Store文件泄漏的主要内容,如果未能解决你的问题,请参考以下文章

使用导致内存泄漏的音频片段

Git.DS_Store 是什么文件

.gitignore 全局过滤 .DS_Store

CTF中常见Web源码泄露总结

.DS_Store 文件跳过

mac电脑禁止生成 .DS_Store 文件的解决方法