На одном из каждых 600 веб-сайтов открыта папка .git, как проверить свою и скрыть ее

Исследователь безопасности Джейми БраунВ рамках своего личного проекта собрал и создал базу данных около 1,5 миллионов крупных и уважаемых веб-сайтов. Большинство из этих веб-сайтов были надежными новостными, образовательными или правительственными веб-сайтами, либо на них были размещены обратные ссылки с таких веб-сайтов. К своему удивлению, он обнаружил, что из 1,5 миллионов веб-сайтов 2402 совершили преступление, раскрывая свою папку .git, и поэтому их можно было загрузить.

Как упоминалось выше, эта загружаемая папка .git содержит всю информацию о веб-сайте и может быть легко использована для нанесения серьезного ущерба. Доля уязвимых веб-сайтов составила примерно 1 на каждые 600 уважаемых веб-сайтов, т.е. около 0,16 процента, что является очень опасной цифрой.

Также следует отметить, что не каждый репозиторий .git содержит конфиденциальную информацию. Тем не менее, из большого набора выборок многие веб-сайты удалось взломать с помощью папки .git, поскольку они содержали ключи API Amazon AWS или Google Cloud, данные FTP для собственного сервера, скрытые папки или резервные копии базы данных в файлах .SQL.

Как проверить, открыта ли ваша папка .git?

  • Все веб-разработчики, использующие git для управления исходным кодом, должны немедленно взглянуть на
  • Если ваша папка .git видна, немедленно заблокируйте ее!

Как заблокировать доступ к папке .git?

Если ваша папка .git видна, идеальный способ ее заблокировать — удалить ее и поискать лучший способ развертывания вашего кода. Предполагая, что кто-то уже загрузил все данные, измените все соответствующие пароли, ключи API, хеши или соли.

Чтобы запретить использование папки .git, вы можете создать .htaccess файл в каждом каталоге .git и запретить доступ, но есть способы сделать это глобальным, поместив его в основной файл конфигурации.

Вы можете использовать следующий простой и понятный способ скрыть любой файл или каталог (и вернуть 404), имя которого начинается с .git. Если вы поместите его в корневой html-документ, он выполняет глобальную работу. Взглянем:

RedirectMatch 404 /\.git

Приведенный выше фрагмент кода может быть помещен в .htaccess или файл конфигурации вашего сервера. Он скрывает любой файл или каталог, имя которого начинается с .git (например, каталог .git или файл .gitignore), возвращая 404. Таким образом, скрыто не только содержимое вашего репозитория Git, но и само его существование. Обязательно подтвердите доступ к после внесения этого изменения.

Джейми пишет в своем блоге, что прямо сейчас это может быть «самая большая дыра в Интернете». Пожалуйста, распространите информацию о работе среди других веб-разработчиков, чтобы сделать Интернет более безопасным.

Читайте также: Проект «Щит»: Google хочет защитить новостные и правозащитные сайты от DDOS-атак

Источник изображения: Переполнение стека

Вы нашли эту информацию полезной? Расскажите нам свое мнение в комментариях ниже.

Чтобы получать больше новостей и интересных историй от fossBytes, подпишитесь на нашу рассылку. [newsletter_signup_form id=1]

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *