对于Web开发人员来说,向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库,包括数据库密码、加密盐、Hash和第三方接口密钥API,还有你的用户名和密码。
多年来,作为个人项目,我建立了150万的网站数据库,大多是权威网站(比如BBC、《卫报》,或者涉及政府、教育及军事领域的网站)。
在这150万网站中,2402个的.git文件夹被暴露且可下载,0.16%颇受欢迎的网站正暴露在危险之中。
虽然一些.git存储库无害,但任取一个网站的随机样本,就会发现其中往往包含着危险的信息。在我收集的数据中,有数百个列出了数据库密码,包括服务API密钥,如AWS或谷歌云,还有些包括网站Web服务器的FTP细节。有的还包含.SQL文件中数据库备份,以及那些本该隐藏的文件夹。
此前,一个著名的人权组织暴露了每位签署了同性恋权利运动的人 (包括他们的住地址和电子邮件),这些信息存储在.git存储库的CSV文件中,可以公开从网站下载。
开发者,请务必确保.git文件夹在http://www.yourdomain.com/.git/不可见。若非如此,请立即锁定——请删除文件夹并找个更好的方法部署代码,或至少确保禁止.htaccess访问文件夹。
假设已经有人下载了你的信息,想清楚他们可能会看到什么。此外你需要知道,哪些密码、盐、Hash或API密钥需要改变?他们可能已经访问了哪些数据?他们可能已经做了哪些可能改变或损害你的事情?
原文链接:http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
