实验室:版本控制历史中的信息披露
从业者
该实验室通过其版本控制历史记录披露敏感信息。要解决实验室,获取密码行政人员
然后用户登录并删除Carlos的帐户。
解决方案
- 打开实验室并浏览到
/.git
揭示实验室的GIT版本控制数据。
下载整个目录的副本。对于Linux用户,最简单的方法是使用命令:
wget -r https://your-lab-id.beplay体育能用吗web-security-academy.net/.git/
Windows用户将需要找到一种替代方法,或安装类似Unix的环境,例如Cygwin,以便使用此命令。
- 使用本地GIT安装探索下载的目录。请注意,该消息有一个提交
“从配置中删除管理员密码”
。
- 仔细观察差异
admin.conf
文件。请注意,该提交用环境变量替换了硬编码的管理员密码Admin_password
反而。但是,在差异中,硬编码的密码仍然可以清楚地看到。
- 返回实验室,并使用泄漏的密码登录到管理员帐户。
- 要解决实验室,请打开管理接口并删除Carlos的帐户。
社区解决方案beplay维护得多久
迈克尔·索默(Michael Sommer)