git数据泄露 admin 102800文章 87评论 2022年5月15日01:12:32评论20 views字数 602阅读2分0秒阅读模式 漏洞介绍 Git是一个可以实现有效控制应用版本的系统,当大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 漏洞危害 攻击者利用该漏洞下载.git文件夹中的所有内容。如果文件夹中存在敏感信息(数据库账号密码、源码等),通过白盒的审计等方式就可能直接获得控制服务器的权限和机会! 漏洞检测 (1)可以先观察一下站点是否有醒目地指出Git,如果有的话,那就说明站点很大可能是存在这个问题的; (2)如果站点没有醒目的提示的话,可以利用dirsearch这类扫描工具,如果存在./git泄露的问题的话,会被扫描出来; (3)直接通过网页访问.git目录,如果能访问就说明存在。 漏洞复现 (1)利用CTF环境进行复现 (2)使用GitHacker获取git泄露情况 (3)存在git数据泄露 (4)列出历史记录 (5)两条历史记录比对发现flag (6)成功复现 漏洞修复 (1)单独部署、限制权限和限制访问(2)在Nginx添加中URL重写判断来禁止访问这个.git目录下的内容. 中泊研安全技术团队通过“人+流程+数据+平台”,构建可持续安全监测和响应能力,为客户提供全方位的安全运营服务解决方案。 邮箱:chenfanfan@zbysec.com 网站:http://www.zbysec.com 原文始发于微信公众号(中泊研安全应急响应中心):git数据泄露 点赞 https://cn-sec.com/archives/1007287.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论