對(duì)于Web開發(fā)人員來說,向外界暴露你的.git文件夾絕對(duì)是一個(gè)菜鳥級(jí)錯(cuò)誤。因?yàn)檫@樣會(huì)允許任何人下載你的整個(gè)源代碼存儲(chǔ)庫,包括數(shù)據(jù)庫密碼、加密鹽、Hash和第三方接口密鑰API,還有你的用戶名和密碼。
多年來,作為個(gè)人項(xiàng)目,我建立了150萬的網(wǎng)站數(shù)據(jù)庫,大多是權(quán)威網(wǎng)站(比如BBC、《衛(wèi)報(bào)》,或者涉及政府、教育及軍事領(lǐng)域的網(wǎng)站)。
在這150萬網(wǎng)站中,2402個(gè)的.git文件夾被暴露且可下載,0.16%頗受歡迎的網(wǎng)站正暴露在危險(xiǎn)之中。
雖然一些.git存儲(chǔ)庫無害,但任取一個(gè)網(wǎng)站的隨機(jī)樣本,就會(huì)發(fā)現(xiàn)其中往往包含著危險(xiǎn)的信息。在我收集的數(shù)據(jù)中,有數(shù)百個(gè)列出了數(shù)據(jù)庫密碼,包括服務(wù)API密鑰,如AWS或谷歌云,還有些包括網(wǎng)站W(wǎng)eb服務(wù)器的FTP細(xì)節(jié)。有的還包含.SQL文件中數(shù)據(jù)庫備份,以及那些本該隱藏的文件夾。
此前,一個(gè)的人權(quán)組織暴露了每位簽署了同性戀權(quán)利運(yùn)動(dòng)的人 (包括他們的住地址和電子郵件),這些信息存儲(chǔ)在.git存儲(chǔ)庫的CSV文件中,可以公開從網(wǎng)站下載。
開發(fā)者,請(qǐng)務(wù)必確保.git文件夾在http://www.yourdomain.com/.git/不可見。若非如此,請(qǐng)立即鎖定——請(qǐng)刪除文件夾并找個(gè)更好的方法部署代碼,或至少確保禁止.htaccess訪問文件夾。
假設(shè)已經(jīng)有人下載了你的信息,想清楚他們可能會(huì)看到什么。此外你需要知道,哪些密碼、鹽、Hash或API密鑰需要改變?他們可能已經(jīng)訪問了哪些數(shù)據(jù)?他們可能已經(jīng)做了哪些可能改變或損害你的事情?
原文鏈接:http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/
本站文章版權(quán)歸原作者及原出處所有 。內(nèi)容為作者個(gè)人觀點(diǎn), 并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),本站只提供參考并不構(gòu)成任何投資及應(yīng)用建議。本站是一個(gè)個(gè)人學(xué)習(xí)交流的平臺(tái),網(wǎng)站上部分文章為轉(zhuǎn)載,并不用于任何商業(yè)目的,我們已經(jīng)盡可能的對(duì)作者和來源進(jìn)行了通告,但是能力有限或疏忽,造成漏登,請(qǐng)及時(shí)聯(lián)系我們,我們將根據(jù)著作權(quán)人的要求,立即更正或者刪除有關(guān)內(nèi)容。本站擁有對(duì)此聲明的最終解釋權(quán)。
