专家发现,包含我国在内的数百万的
.git文件夹暴露在公众面前
网络新闻研究小组发现,近200万个包含重要项目信息的.git文件夹被暴露在公众面前。
Git是最流行的开源分布式版本控制系统(VCS),由Linus Torvalds在近20年前为Linux内核的开发而开发,其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作,并允许跟踪变化。
一个.git文件夹包含了项目的基本信息,如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如,Cybernews最近的另一项研究发现,美国的流媒体服务CarbonTV将一台服务器的源代码开放,危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳,导致源代码泄露。
Cybernews的研究人员对最常见的网络服务端口80和443进行了研究,发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。
"让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的,而且是众所周知的,这可能会导致更多的内部泄露,或者让恶意行为者更容易进入系统,"Cybernews的研究员Martynas Vareikis说。
超过31%的公开曝光的.git文件夹位于美国,其次是中国(8%)和德国(6.5%)。
约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。
上面的截图显示的是.git/config文件,凭证已被遮挡。
"凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库,为恶意行为者提供更多机会,如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说:"当你有完全的权限时,可能性是无穷的。
他说,开发者需要利用.gitignore文件,告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说,提交任何敏感文件都不是一个好主意,即使是提交到私人仓库。
CyberNews专家注意到,让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。 域名,如cybernews.com,是为了让用户记住并方便访问,但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址,开发人员往往忘记为相应的IP地址设置相同的访问控制规则,这可能导致威胁者修改域名和配置访问规则等。
因使用无钥匙入侵技术盗取汽车,被捕;
文章来源 :E安全、freebuf
精彩推荐
最难就业季|“本想先读书躲一躲,谁料行情还不如两年前”