专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

admin 2022年10月24日00:59:06评论67 views字数 1225阅读4分5秒阅读模式

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前


关键词

数据泄露


网络新闻研究小组发现,近200万个包含重要项目信息的.git文件夹被暴露在公众面前。


Git是最流行的开源分布式版本控制系统(VCS),由Linus Torvalds在近20年前为Linux内核的开发而开发,其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作,并允许跟踪变化。

 

一个.git文件夹包含了项目的基本信息,如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如,Cybernews最近的另一项研究发现,美国的流媒体服务CarbonTV将一台服务器的源代码开放,危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳,导致源代码泄露。

 

Cybernews的研究人员对最常见的网络服务端口80和443进行了研究,发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。

 

"让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的,而且是众所周知的,这可能会导致更多的内部泄露,或者让恶意行为者更容易进入系统,"Cybernews的研究员Martynas Vareikis说。

 

超过31%的公开曝光的.git文件夹位于美国,其次是中国(8%)和德国(6.5%)。

 

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

 

约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。

 

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

 

上面的截图显示的是.git/config文件,凭证已被遮挡。

 

"凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库,为恶意行为者提供更多机会,如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说:"当你有完全的权限时,可能性是无穷的。

 

他说,开发者需要利用.gitignore文件,告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说,提交任何敏感文件都不是一个好主意,即使是提交到私人仓库。

 

CyberNews专家注意到,让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。  域名,如cybernews.com,是为了让用户记住并方便访问,但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址,开发人员往往忘记为相应的IP地址设置相同的访问控制规则,这可能导致威胁者修改域名和配置访问规则等。


   END  

阅读推荐

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前【安全圈】巴西警方逮捕一名黑客组织Lapsus$成员

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前【安全圈】Windows反恶意软件应用SpyHunter Pro发布

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前【安全圈】美国300万名医院患者的个人信息被泄露给外部公司

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前【安全圈】升级iOS无法面容解锁,Face ID变成摆设!

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前
专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

安全圈

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前



原文始发于微信公众号(安全圈):【安全圈】专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月24日00:59:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   专家发现,包含我国在内的数百万的.git文件夹暴露在公众面前http://cn-sec.com/archives/1367291.html

发表评论

匿名网友 填写信息