Google Dork: inurl: /wp-includes/uploads
包含敏感信息的文件
日期:2022年8月16日
漏洞作者:Rajdip Chavan
Google搜索语法
|
|
技术说明
该Google Dork专门用于发现WordPress网站中wp-includes/uploads目录下公开可访问的文件。这个目录通常用于存储WordPress系统的上传文件,但错误配置可能导致敏感信息泄露。
风险分析
通过此搜索语法,攻击者可能发现:
- 数据库备份文件(.sql)
- 配置文件(如wp-config.php备份)
- 日志文件
- 其他包含敏感数据的文件
技术背景
Google Hacking Database(GHDB)是一个分类整理的互联网搜索引擎查询索引库,专门用于发现互联网上公开的有趣且通常敏感的信息。这些信息大多本不应公开,但由于各种配置错误,被搜索引擎抓取并索引。
防护建议
- 确保
wp-includes/uploads目录配置正确的访问权限 - 定期检查网站目录中是否存在敏感文件
- 使用robots.txt文件阻止搜索引擎抓取敏感目录
- 实施严格的文件上传验证机制
该技术属于信息收集阶段的重要方法,是渗透测试和漏洞研究中的常用手段。