Fichiers de configuration exposés

Résumé – Les fichiers de configuration sont utilisés par les serveurs pour définir des paramètres et des comportements, ce qui permet aux administrateurs d’adapter les opérations du serveur et d’établir des mesures de sécurité pour l’interface du serveur avec son environnement. Une mauvaise configuration du serveur peut rendre ces fichiers accessibles au public, fournissant ainsi une mine d’informations précieuses aux attaquants.

Objectif(s) :

• Exfiltrer les chaînes de connexion à la base de données ou les informations d’identification des fichiers de configuration de la base de données tels que application.properties.
• Lire des données sensibles stockées dans des fichiers de variables d’environnement tels que env.js ou .env.
• Exploiter les failles logiques pour contourner les contrôles de sécurité mis en œuvre dans le routage du serveur web configuré dans des fichiers tels que httpd.conf ou .htaccess.
• Fichiers contenant des clés de chiffrement, des certificats et des configurations de déchiffrement dans des fichiers tels que keystore.jks ou openssl.cnf.