前言

.DS_Store是Mac OS保存文件夹的自定义属性的隐藏文件,如文件的图标位置或背景色,相当于Windows的desktop.ini

其删除以后的副作用就是这些信息的失去

和别人交换文件(或你做的网页需要上传的时候)应该把 .DS_Store 文件删除比较妥当,因为里面包含了一些你不一定希望别人看见的信息。尤其是网站,通过 .DS_Store 可以知道这个目录里面所有文件的清单,很多时候这是一个不希望出现的问题

DS_Store文件泄漏
.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露

这个是挂着xray测试扫描出来的,有的src收会给低危,有的就直接忽略

xray漏洞类型 dirscan/temp/defa

扫出来有个这样的链接的get请求

https://xx/.DS_Store

工具

https://github.com/lijiejie/ds_store_exp

该工具需要使用python3执行

1
2
3
git clone git@github.com:lijiejie/ds_store_exp.git
cd ds_store_exp
pip install ds_store requests

由于我本地windows的python环境很复杂就用了一个python的虚拟环境

miniconda3

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
查询虚拟环境
λconda env list
# conda environments:
#
base                  *  C:\Users\tea90\miniconda3
进入虚拟环境
activate base
查询python版本号
(base) λpython --version
Python 3.9.7
安装依赖
pip install ds_store requests
执行工具
C:\Users\tea90\Documents\tea\tools\ds_store_exp(master -> origin)
(base) λ python ds_store_exp.py https://xx/.DS_Store
[200] https://xx/.DS_Store
会在本地生成域名的文件夹
(base) λ cd cdn.staticfile.org\
查看文件(如果有的话会很多
ls

退出虚拟环境
deactivate
删除虚拟环境
conda env remove -n base

一般来说.DS_Store文件比较大的话会存在敏感信息的概率比较大,由于我运气不好这次这个没什么东西

危害

具体看隐藏的文件,可能会有源代码目录结构信息泄露、敏感文件泄露、数据库文件等

安全建议

删除.DS_Store文件后在进行上传源代码信息,一般该目录在文件夹中是隐藏的,需要在命令行中进行删除

https://blog.csdn.net/weixin_43828245/article/details/124768518

https://blog.csdn.net/weixin_43977912/article/details/115443320