互联网大漏洞:每600个网站就有1个暴露了.git文件夹

最新推荐文章于 2024-05-27 10:17:21 发布
最新推荐文章于 2024-05-27 10:17:21 发布
阅读量875 收藏
点赞数
文章标签: 下载 信息 数据库 文件夹
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love_candy333/article/details/80120632
版权

对于Web开发人员来说,向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库,包括数据库密码、加密盐、Hash和第三方接口密钥API,还有你的用户名和密码。

多年来,作为个人项目,我建立了150万的网站数据库,大多是权威网站(比如BBC、《卫报》,或者涉及政府、教育及军事领域的网站)。

在这150万网站中,2402个的.git文件夹被暴露且可下载,0.16%颇受欢迎的网站正暴露在危险之中。

虽然一些.git存储库无害,但任取一个网站的随机样本,就会发现其中往往包含着危险的信息。在我收集的数据中,有数百个列出了数据库密码,包括服务API密钥,如AWS或谷歌云,还有些包括网站Web服务器的FTP细节。有的还包含.SQL文件中数据库备份,以及那些本该隐藏的文件夹。

此前,一个著名的人权组织暴露了每位签署了同性恋权利运动的人 (包括他们的住地址和电子邮件),这些信息存储在.git存储库的CSV文件中,可以公开从网站下载。

开发者,请务必确保.git文件夹在http://www.yourdomain.com/.git/不可见。若非如此,请立即锁定——请删除文件夹并找个更好的方法部署代码,或至少确保禁止.htaccess访问文件夹。

假设已经有人下载了你的信息,想清楚他们可能会看到什么。此外你需要知道,哪些密码、盐、Hash或API密钥需要改变?他们可能已经访问了哪些数据?他们可能已经做了哪些可能改变或损害你的事情?

原文链接:http://www.jamiembrown.com/blog/one-in-every-600-websites-has-git-exposed/

Love_candy333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
windows git 删除版本控制 清理.git文件夹 批量处理
09-10
Windows系统条件下,批量清除git版本管理配置文件,批量删除.git文件夹 使用方法:下载将该脚本文件,拷贝到要清除的项目的文件夹目录下,双击bat文件即可。
nginx禁止访问.git文件的设置教程
09-30
然而,如果一个网站的源码是通过Git进行协作开发的,.git目录可能会被意外地暴露互联网上。这个目录包含了项目的提交历史、文件元数据以及敏感信息,如SSH密钥或者访问令牌,因此保护它免受未经授权的访问至关重要...
.git泄露
qq_46277212的博客
11-06 785
漏洞简介 开发人员在开发过程中遗忘删除 .git 文件夹,导致攻击者可以通过 .git 文件夹中的信息获取开发人员提交过的所有源码。从而导致服务器被攻击沦陷 如何访问 127.0.0.1/.git 或127.0.0.1/.git/config 如果有文件内容返回,则有 .git 文件泄露 GitHack是一个测试.git泄露的脚本,git信息泄露危害很大。 例如:python2 GitHack.py http://192.168.6.32/.git 看到输出后,进入到给出的目录下。 ...
由于.git/config导致的Git存储泄露
oschina_41731918的博客
09-28 1884
Git存储泄露
Git严重漏洞,远程执行代码,Mac和Windows通杀!
最新发布
IT界那些事儿
05-27 8151
不得了了,家人们!就在这几天,Git爆出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
七、信息泄露[git、vim]
黑日里不灭的light
10-23 805
解释:Git信息泄露是指通过公开或错误地配置版本控制系统Git,导致敏感数据(例如API密钥、数据库密码、个人信息等)被泄露到公共代码仓或其他未授权的访问者手中。通俗来说,在公网暴露类似(将.git目录直接被人访问)将会导致源码被人下载查看到。
git能不能管理文件夹
forlong401的专栏--有问题上:http://www.androidren.com
03-09 1502
http://androidren.com/index.php?qa=352&qa_1=git%E8%83%BD%E4%B8%8D%E8%83%BD%E7%AE%A1%E7%90%86%E6%96%87%E4%BB%B6%E5%A4%B9 答案是不能。如果有需要,就添加.gitignore或者其他文件。 https://git.wiki.kernel.org/index.php/G
.git文件夹详解
GSON的博客
09-13 2810
git 克隆代码之后,还不能直接使用git,而需要初始化git,它会自动创建git需要的目录。这些文件存在于项目下的.git文件夹下。 .git文件夹git init后在当前目录生成的一个管理git文件夹,这里包含所有git操作所需要的东西,如下图: hooks(钩):存放一些shell脚本 Info:exclude:存放仓的一些信息 logs:保存所有更新的引用记录 HEAD (refs:heads、remote) objects:存放所有的git对象 例如:lo.
拼字游戏:从远程服务器恢复.git文件夹的简单工具
02-03
本文将深入探讨如何使用一个名为"Scrabble"的简单工具,从远程服务器恢复丢失或损坏的.git文件夹。这个工具可能是开发者在面临数据丢失问题时的一线希望,特别是对于那些没有本地备份的项目。 首先,我们要理解为...
gitpod-monorepo:基于文件夹上下文加载正确的.gitpod.yml配置文件的实验
03-02
在多模块(monorepo)项目中,一个仓可能包含多个独立的子项目,每个子项目可能有自己特定的开发需求和配置。 标题“gitpod-monorepo”指向的是一个实验,旨在解决在这样的多模块项目中如何根据当前工作目录或...
GitRekt:在.git文件夹中搜索应隐藏的电子邮件和URL
03-08
GitRekt是可用于抓取网站.git文件夹的工具。 默认情况下,GitRekt将搜索本应隐藏的电子邮件地址和URL。 .git文件夹网站上运行recon时非常有用,现在您可以自动执行。 享受! 例子 python gitrekt.py -u ...
git泄露漏洞
TItaniumLJA的博客
11-23 5754
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
搭建网页版的git服务器,git 代码服务器的网页版gitweb的搭建
weixin_33676046的博客
08-11 814
sudo apt-get install apache2 git-core gitwebsudo a2enmod rewrite#vi /etc/gitweb.conf$projectroot = "/home/git/work"; 我的git代码project.git在/home/git/work/目录下。注意是XXX.git所在的路径,但是不要包含XXX.git$git_temp = "/t...
Git(三).git 文件夹详解
ACGkaka的博客
10-25 4552
Git(三).git 文件夹详解
.gitignore文件使用的误区
迷阳的博客
11-08 569
.gitignore文件修改后往往不能直接生效 究其原因,.gitignore 文件只能作用于那些从来没有被 Git 记录过的文件(自添加以后,从未 add 及 commit 过的文件)。因此如果文件曾经被 Git 记录过,那么.gitignore 就对它们完全无效。 解决办法: 删除本地缓存,使文件成为untrack状态 git rm -r --cached . 修改文件,修改.gitig
git文件夹内容详解
techdashen的博客
08-28 4023
目录是 Git 用来存储压缩后的 Git 对象文件的目录,这些文件是通过 Git 的打包(packing)算法生成的。打包算法可以将多个 Git 对象文件压缩成一个更小的文件,这样可以减小 Git的占用空间,提高 Git 的性能。文件都是用来存储经过压缩的 Git 对象的,通过打包算法和索引文件可以减小 Git的占用空间,并提高 Git 对象的访问速度。目录存储了 Git 对象的压缩文件,通过打包算法可以减小 Git的占用空间,提高 Git 的性能。这种情况下,如果想要减小它的大小。
Git文件操作
m0_65627943的博客
09-28 217
Modified:文件已修改,仅仅是修改,并没有进行其他的操作,这个文件也有两个去处,通过git add可进入暂存staged状态,使用git checkout 则丢弃修改过,返回到unmodify状态,这个git checkout 即从中取出文件,覆盖当前修改!版本控制就是对文件的版本控制,要对文件进行修改,提交等操作,首先要知道文件当前在什么状态,不然可能会提交了还不想提交的文件,或者要提交的文件还没提交上。4,如果名称前面是一个路径分隔符(/),表示忽略的文件在此目录下,而子目录中的文件不忽略。
git泄露漏洞总结
weixin_66839513的博客
04-02 2404
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓或者其他公开可访问的地方,从而被未授权的人获取到。
GitGit目录中各个文件(文件夹)的说明
【敦厚的曹操】的专栏
07-06 1269
GitGit目录中各个文件(文件夹)的说明
fatal: 不是一个 git(或者任何父目录):.git
09-22
fatal: 不是一个 git(或者任何父目录):.git这个错误消息通常表示当前目录或其父目录中没有找到.git文件夹,这是git的核心文件夹。这可能是因为您在非git目录中运行了git命令,或者当前目录中的.git文件夹已被删除或损坏。要解决此问题,您可以尝试以下几个步骤: 1. 确保您在正确的git目录中运行git命令。您可以通过使用cd命令切换到正确的目录来确认。 2. 检查当前目录及其父目录中是否存在.git文件夹。如果不存在,您可能需要将其添加到正确的位置或使用git clone命令克隆一个新的仓。 3. 如果.git文件夹存在但已损坏,您可以尝试使用git init命令重新初始化仓。这将创建一个新的.git文件夹,并且您可能需要重新添加和提交您的文件。 如果您遇到上述步骤后仍然无法解决问题,可能需要进一步检查您的git配置或尝试删除并重新安装git

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值