由于.git/config导致的Git存储库泄露

已于 2022-09-28 20:07:58 修改
阅读量1.7k 收藏 2
点赞数
分类专栏: 生产应用 文章标签: git jenkins 运维
于 2022-09-28 20:06:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oschina_41731918/article/details/127091528
版权

1. 背景

1.1 概述

最近在加强网站的安全性,使用了华为云的漏洞扫描服务,发现存在高风险的Git存储库泄露。这是由于对于对Gitlab的系统和目录结构不够熟悉,没有做好及时的规避。

1.2 详情

以上漏洞的现象为,访问站点下的https:xxx.domain.com/.git/config 可以下载相关文件,内容如下:

[core]
	repositoryformatversion = 0
	filemode = true
	bare = false
	logallrefupdates = true
[remote "origin"]
	url = ssh://git@xxx.domain.com/root/project_xxx.git
	fetch = +refs/heads/*:refs/remotes/origin/*

很明显,暴露出了你的代码仓库地址,接下来黑客可以做的就是:拉下你的代码、分析你的业务、得到你的数据库连接信息。可想而知风险非常大。

2. 处理方式

2.1 Nginx拒绝访问

从最外层的流量网关禁止访问相关文件,可以在Nginx的对应server下配置:

    # 避免暴露 .git 目录
    location ~ /.git/ {
          deny all;
    }

2.2 Jenkins发布过滤

在Jenkins拉完代码之后会进行编译,之后的部署只需要编译后的文件(tar或者dist目录下的静态资源文件)。对于使用rsync命令推送的代码,可以使用--exclude=.git 排除掉。

rsync -vauP -e  --exclude=.git 'ssh -p 22' /root/.jenkins/workspace/project_xxx/* root@192.168.1.191:/opt/openresty/nginx/html/project_xxx

3. 总结

安全无小事,要了解各个工具的运行机制,避免出现暴露出核心的代码文件。另外还可以通过公有云平台的漏洞检查工具,定期进行审查,防患于未然。

凡尘技术
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
解决git:fatal:Unable to create”…/.git/index.lock” 的错误
01-08
问题描述: 在使用git 进行提交时, 出现上面这个报错, 导致无法提交. 报错大致意思就是创建index.lock文件失败,因为已经存在index.lock文件了. index.lock文件是在.git下面, 而.git是一般是隐藏的, 那么可以通过以下命令删除即可. rm -rf /Users/dianji/project/ccpay.h5/.git/index.lock ///Users/dianji/project/ccpay.h5/.git/index.lock是你的index.lock的目录, 通常直接复制报错信息里边的地址比较靠谱. 那这个index.lock有什么作用呢? 官
git源码泄露漏洞总结
热门推荐
王嘟嘟的博客
03-30 1万+
0x00 前言 这里对.git源码进行一个总结 0x01 .git文件夹分析 0x02 .git文件夹利用原理 0x03 githack脚本简单分析 0x04 .git源码泄露扫描 0x05 .git源码泄露实例
Git无法正常工作,因为检测到XXX存储可能不安全(unsafe repository)的解决方法...
jyf_568的博客
03-05 411
背景 前两天因为对硬盘进行了误操作,导致系统无法进入,只能重新安装。待系统安装完毕后第一时间将VS下了回来。在VS开发环境部署完毕后,我打开了自己的解决方案,结果在“Git更改”选项卡内遇到了如下图的提示(分别是VS2022和VS2019): 过程 在点击“将其标记为安全”后该存储可以正常使用,但是随即又想到,自己的存储不止这么一个,如果每个项目第一次打开都要这样做,还是挺麻烦的。 于是上...
CTFHub-ctfhub-Git泄露-Log
wrypot的博客
05-18 701
win+R输入cmd一步步进入到目录E:\tools\GitHack-master\dist\challenge-2fde69b686edf5c3.sandbox.ctfhub.com_10800来到目录后使用git log查看目录git log最后git show展示一下拿到key总结前期却什么python,就补上git ssh key配置不能少祝师傅们都能够顺利解决!
git信息泄露漏洞
qq_50854662的博客
09-09 954
git信息泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据账...
.Git敏感信息泄露
qq_40898302的博客
10-17 254
Git是由林纳斯·托瓦兹(Linus Torvalds)命名的,它来自英国俚语,意思是“混账”,Git是一个分布式版本控制软件,最初由林纳斯·托瓦兹(Linus Torvalds)创作,于2005年以GPL发布。最初目的是为更好地管理Linux内核开发而设计。Git最初只是作为一个可以被其他前端(比如CoGito或StGit)包装的后端而开发的,但后来Git内核已经成熟到可以独立地用作版本控制。很多著名的软件都使用Git进行版本控制,其中包括Linux内核、X.Org服务器和OLPC内核等项目的开发流程。
git泄露漏洞
TItaniumLJA的博客
11-23 5685
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
Git泄露_Log
Mr_admin的博客
09-23 1926
刚开始的时候不知道git命令,直接百度。做后确定命令格式为:python2 GitHack.py http://challenge-4e45df1c40b42551.sandbox.ctfhub.com:10800/.git/当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。我用的是新版kali环境做的题目(kali日期为2022-3,这个版本安装了python2和python3。后面使用命令要注意,我在这里踩坑了。先是捣鼓git软件怎么使用。
Git泄露相关知识点
2201_75437983的博客
10-18 1270
点开看了以后里面什么都没有,注意这里一定要进去到了文件里面以后再打开终端,执行git log,git log 显示到HEAD所指向的commit为止的所有commit记录,简单说来就是可以查看之前版本的记录(删除了的看不见),git reflog和git log功能一样(删除了的也能查看)。可以看到我们git log以后我们能看到三个版本的哈希值,一个是现在所在的版本(remove flag),一个是前版本(add flag),一个是初始化的版本(init),而我们现在的版本大家也看到的是空白的一个文件。
攻防世界 mfw(Git源码泄露与命令执行漏洞
Welcome To Myon'Blog !
06-01 2163
Git 源码泄露: 1、strpos() 函数 2、assert()函数 3、file_exists() 函数 4、die()函数 代码审计: 命令执行漏洞
web中git漏洞的形成的原理及使用
qq_61988806的博客
02-24 904
web中git漏洞的形成的原理
coreutils:https:git.savannah.gnu.orggitcoreutils.git
02-11
coreutils:https:git.savannah.gnu.orggitcoreutils.git
Githack:利用git目录结构读取源代码工具
03-24
GitHack是.git文件夹公开漏洞利用。 它从.git文件夹重建源代码,同时保持目录结构不变。 GitHack是一个.git整合利用脚本,通过重定向的.git文件夹下的文件,重建还原工程源代码。 渗透测试人员,攻击者,可以...
https://git.openwrt.org/feed/telephony.git
11-25
https://git.openwrt.org/feed/telephony.git
屏幕:https:git.savannah.gnu.orggitscreen.git的只读镜像
02-16
屏幕:https:git.savannah.gnu.orggitscreen.git的只读镜像
gitcode 上传文件报错文件太大has exceeded the upper limited size
最新发布
打不死的小五
04-25 124
git push 到gicode时报错 >remote: Start Git Hooks Checking Error: Deny by project hooks setting 'default' > has exceeded the upper limited size (10 MB) in commit
【神经网络结构可视化】PlotNeuralNet的安装、测试及创建自己的神经网络结构可视化图形
这个函数可导的博客
04-24 958
PlotNeuralNet的安装、测试及创建自己的神经网络结构可视化图形。
【技巧】Git 版本控制工具没有图标提示怎么办?
Riu_Peter
04-23 377
之类的插件,让文件夹显示图标,方便观察文件的状态。3、重启资源管理器,也就是通过任务管理器,找到资源管理器,右键重启。当然重启电脑也是可以的。开头的配置项位置靠后,可以修改文件夹的名字,在前面添加空格,将配置项迁移。Git 版本控制工具在日常开发中使用率是非常高的,多数情况下会安装。2、当前目录是否已经作为 Git 本地仓,如果没有也是不现实图标的。4、重启不生效时,修改注册表。其他 Git 操作相关内容。
git merge 和 git rebese的区别
m0_51181022的博客
04-22 325
举个例子解释下,比如张三和李四从共同的节点拉出来开发,张三先开发完提交了两次然后merge上去了,李四后来开发完如果rebase上去(注意,李四需要切换到自己本地的主分支,假设先pull了张三的最新改动下来,然后执行,然后再git push到远端),则李四的新提交变成了张三的新提交的新基底,本来李四的提交是最新的,结果最新的提交显示反而是张三的,就乱套了,以后有问题就不好追溯了。(rebase以后我就不知道我的当前分支最早是从哪个分支拉出来的了,因为基底变了)
/.git/config
08-12
.git/configGit的配置文件,它存储了与仓相关的设置和参数。这个文件位于 Git的根目录下的 .git 子目录中。 配置文件是一个纯文本文件,可以使用任何文本编辑器打开并进行修改。它包含了各种配置选项,如用户名、邮箱、远程仓地址、分支设置等等。 你可以在 .git/config 中找到以下内容: - [core] 部分:包含 Git 核心设置,如仓路径、文件编码等。 - [remote] 部分:包含远程仓的信息,如名称、URL等。 - [branch] 部分:包含分支的配置信息,如当前分支、追踪的远程分支等。 - [user] 部分:包含用户信息,如用户名和邮箱地址。 注意,不建议直接修改 .git/config 文件,而是使用 Git 命令行工具或 Git 图形界面工具来管理仓的配置。这样可以避免错误和冲突。 希望这个解答对你有帮助!如果你有更多问题,我会很乐意解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值