资讯频道 互联网
阅读更多

0顶
2踩

互联网

原创新闻 互联网大漏洞:每600个网站就有1个暴露了.git文件夹

2015-07-28 16:20 by 副主编 mengyidan1988 评论(1) 有6156人浏览
漏洞 git

声明:ITeye资讯文章的版权属于ITeye网站所有,严禁任何网站转载本文,否则必将追究法律责任!

对于Web开发人员来说,向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库,包括数据库密码、加密盐、Hash和第三方接口密钥API,还有你的用户名和密码。

多年来,作为个人项目,我建立了150万的网站数据库,大多是权威网站(比如BBC、《卫报》,或者涉及政府、教育及军事领域的网站)。

在这150万网站中,2402个的.git文件夹被暴露且可下载,0.16%颇受欢迎的网站正暴露在危险之中。

虽然一些.git存储库无害,但任取一个网站的随机样本,就会发现其中往往包含着危险的信息。在我收集的数据中,有数百个列出了数据库密码,包括服务API密钥,如AWS或谷歌云,还有些包括网站Web服务器的FTP细节。有的还包含.SQL文件中数据库备份,以及那些本该隐藏的文件夹。

此前,一个著名的人权组织暴露了每位签署了同性恋权利运动的人 (包括他们的住地址和电子邮件),这些信息存储在.git存储库的CSV文件中,可以公开从网站下载。

开发者,请务必确保.git文件夹在http://www.yourdomain.com/.git/不可见。若非如此,请立即锁定——请删除文件夹并找个更好的方法部署代码,或至少确保禁止.htaccess访问文件夹。

假设已经有人下载了你的信息,想清楚他们可能会看到什么。此外你需要知道,哪些密码、盐、Hash或API密钥需要改变?他们可能已经访问了哪些数据?他们可能已经做了哪些可能改变或损害你的事情?

原文链接:http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/
0
2
评论 共 1 条 请登录后发表评论
1 楼 sunny-妖娆 2015-08-01 16:55
近期爱内测平台推出一系列产品,针对移动应用技术研究,帮助企业和个人开发者解决APP漏洞安全问题、兼容测试、Bug管理、网络环境监控、插件评估等一站式云服务。
希望对开发者有所帮助啦。。。附上网址http://www.ineice.com/

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 每 600 个网站当中就有 1 个网站暴露了 .git

    对于 web 开发人员而言,对外暴露你的 .git 文件夹,属于低级错误。因为任何人都可以下载你的整个源代码库,后者常包括数据库密码、salt、hash 和第三方 API...

  • .git文件泄露的一次渗透darkhole2

    这是一个困难难度的靶场,通过不小心泄露的.git文件收集信息,再利用漏洞脱库登录,最后利用rce漏洞进行提权。也可以用通用来打。

  • nginx禁止访问.git文件的设置教程(nginx过滤.git文件夹)

    现在git很流行,大家也都开始使用它来管理网站源码,但是.git数据目录在网站的源码根目录也会有一份,nginx通常配置的时候不会对隐藏目录进行特别处理,这样你的源文件就暴露在大庭广众之下了。为了安全,我们需要在...

  • 不要暴露.git

    今天上阿里云查看日志,偶然发现一个项目竟然暴露了.git文件夹。 虽然是很低级的错误,但之前确实完全忽略了。 很多wordpress网站可以直接通过访问 http://www.yourdomain.com/.git/config  来获取config文件。....

  • 网站Git仓库暴露及不安全文件权限配置可能引发的的安全问题

    本文记录了从网站的git暴露开始,通过mysql注入webshell等如何一步一步拿到...建立多个mysql用户,且按场景分配权限,比如网站的用户就一般用不到LOAD DATA这种语句,如果要用的话可以新建一个专门用来操作文件的用户。

  • git源代码泄露

    git泄露和php的assert漏洞

  • Github网络安全测试工具库

    文件目录爆破,SQL / XSS / RFI等漏洞扫描,也可直接用于struts,ShellShock等扫描)(一款开源Poc调用框架,可轻松调用Pocsuite,Tangscan,Beebeeto,Knowsec老版本POC,可使用docker部署)(一款web应用漏洞扫描器,...

  • 【burpsuite安全练兵场-服务端6】信息泄露漏洞-5个实验(全)

    【BP靶场portswigger-服务端6-信息泄露漏洞】5个实验-万文详细步骤

  • SVN/GIT源代码泄露

    但一些网站管理员在发布代码时,不愿意使用“导出”功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以利用该漏洞下载网站的源代码,再从源代码里获得数据库的连接密码;...

  • [HW必备]|蓝队防守必须排查的57个安全漏洞与解决方案

    一、OA系统 二、E-mail 三、Web中间件 四、源代码管理 五、项目管理系统 六、开源运维监控 七、堡垒机

  • day07 资产泄露&CMS识别&Git监控&SVN&DS_Store&备份

    1、从源码本身的特性入口 2、从管理员不好的习惯入口 3、从管理员不好的配置入口 4、从管理员不好的意识入口 5、从管理员资源信息搜集入口 源码泄漏集合: composer.json git源码泄露 svn源码泄露 hg源码...

  • 常见的Web源码泄漏漏洞

    但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码 简要介绍git的目录结构 在一个目录中初始化一个仓库以后 , 会在这个目录下产生一个名叫 ...

  • CTF:信息泄露.(CTFHub靶场环境)

    “ 信息泄露 ” 是指网站无意间向用户泄露敏感信息,泄露了有关于其他用户的数据,例如:另一个用户名的财务信息,敏感的商业 或 商业数据 ,还有一些有关网站及其基础架构的技术细节 等泄露信息。泄露敏感的用户或...

  • https://mp.weixin.qq.com/s/ilO6DZwRpWdrruKm4J8CMw

    近日安全漏洞频发,小编在此收集了近期大家会比较关注的漏洞,做个总结,供大家查漏补缺,若有缺失,欢迎留言补充。 目录 一、OA系统 二、E-mail 三、Web中间件 四、源代码管理 五、项目管理系统 六、...

  • Git信息泄露

    1.Git仓库是一个开源分布式版本控制系统,可有效告诉处理从很小到非常大的项目版本管理。 2. 可以通过git init创建一个仓库。 Git 信息泄露原理 通过泄露的.git文件夹下的文件,还原重建工程源代理。 1.解析.git/...

  • 常见的Web源码泄漏漏洞及其利用

    Web源码泄露的漏洞:git源码泄露svn源码泄露hg源码泄漏网站备份压缩文件WEB-INF/web.xml泄露DS_Store 文件泄露SWP 文件泄露CVS泄露Bzr泄露GitHu...

  • vscode中运行2个程序_如何在Linux中安全地运行不受信任的应用程序

    有时您可能希望使用在不同环境中未经过良好测试的应用程序,但您必须使用它们。在这种情况下,关注系统的安全性是正常的。在Linux中可以做的一件事是在沙箱中使用应用程序。...Firejail是一个SUID(设置所有者用户ID)...

  • Java相关框架漏洞

    文章目录 Fastjson Fastjson简介 历史漏洞 FastJson < 1.2.41 FastJson < 1.2.42 FastJson < 1.2.47 FastJson < 1.2.66 漏洞发现 Json认识 FastJson寻找 FastJson报错识别 FastJson漏洞发现 漏洞利用 FastJson1.2.47...

  • 《磐石计划:Web安全漏洞与渗透测试》笔记

    课程:磐石计划:Web安全漏洞与渗透测试 主讲老师:陈殷 课程详情:https://www.cnblogs.com/xuanhun/p/12849767.html 本文内容:磐石计划课堂笔记 引用:课程讲义(作者:陈殷),课程PPT 1.安全概念 1.1初探安全 ...

Global site tag (gtag.js) - Google Analytics