前言
一声电话响~网站被报告漏洞!!漏洞报告显示:url漏洞;查了之后发现是我的网站配置下并没有屏蔽隐藏文件夹例如.git等文件夹的访问,甚至可以直接下载隐藏文件夹的内容。然后愉快的解决并有了下文。
解决办法
- 1.删除.git目录
- 2.修改Web站点配置文件
对于方案2,我以Nginx服务器举例子,在server{}
段内增加如下代码即可
location ~ /\.
{
deny all;
}
这样就把所有的隐藏文件夹给屏蔽访问了 如果想单独屏蔽某一隐藏文件夹的访问只需要
location ^~ /.git
{
return 444;
}
使用Python-GitHack的爬取工具
漏洞报告中格式我,他们是使用GitHack把我网站到源代码全部下载了的…
GitHack工作原理
- 解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 )
- 去.git/objects/ 文件夹下下载对应的文件
- zlib解压文件,按原始的目录结构写入源代码
GitHack使用
Github地址:戳这>>
下载到本地,使用命令运行:python GitHack.py https://wechat