设为首页收藏本站

LUPA开源社区

 找回密码
 注册
文章 帖子 博客
LUPA开源社区 首页 IT综合资讯 查看内容

安全研究发现39万网站因公开的 .git repo处于危险中

2018-9-9 15:49| 发布者: joejoe0332| 查看: 524| 评论: 0|原作者: oschina|来自: oschina

摘要: 据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储 ...

据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储存库却不是什么好主意。

开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。

Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”

此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。

实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。

四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”

稿源:cnbeta


酷毙

雷人

鲜花

鸡蛋

漂亮

最新评论

(200字以内)
验证问答 换一个 验证码 换一个

  • 快毕业了,没工作经验,
    找份工作好难啊?
    赶紧去人才芯片公司磨练吧!!

最新评论

关于LUPA|人才芯片工程|人才招聘|LUPA认证|LUPA教育|LUPA开源社区 ( 浙B2-20090187  

返回顶部