.DS_Store文件泄漏

简介

最近使用扫描器xray对相关网站进行漏洞扫描的时候，扫描结果中显示有一条.DS_Store文件泄露。但是之前没有去了解过，在此记录一下该漏洞的检测方法。

.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件，每个文件夹下对应一个。

如果开发/设计人员将.DS_Store上传部署到线上环境，可能造成文件目录结构泄漏，特别是备份文件、源代码文件。

漏洞检测

1.漏洞检测工具：

https://github.com/lijiejie/ds_store_exp。

2.工具使用方法：

从github上下载工具到本地后，先安装需要的相关库文件

pip2 install -r .\requirements.txt

执行以下命令对.DS_Store文件进行解析

 python2 .\ds_store_exp.py http://www.xxxx.com/website/face2face/01/pages/.DS_Store

可以看到，通过解析.DS_Store文件可以获取到此目录下的目录结构，如备份文件、源码文件等。可用来进行信息收集。

.DS_Store文件泄漏利用工具: ds_store_exp