GIT уязвимость сайта

Уязвимости более 20 лет. Использование систем контроля версий (СКВ) стало неотъемлемой частью разработчки информационных систем. СКВ имеют скрытые служебные папки, хранящих информацию о файлах проекта и об их изменениях. При неверной конфигурации web сервера данная информация становится публичой, что позволяет получить доступ к исходникам всего проекта и открывает широкий простор для поиска дальнейших уязвимостей.

Для того, чтобы узнать, уязвим ли проект, достаточно ввести в адресной строке браузера http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN соответственно. Если отображается сообщение отличное от сообщения о ненайденной странице — стоит задуматься.

О мерах безопасности:

  1. Размещать публичную часть в поддиректории СКВ. То есть папка .git должна быть расположена на уровень выше, чем корневая директория сайта.
  2. Не хранить в СКВ чувствительную информацию: доступы, конфиги и подобное. Использовать .env файлы.
  3. Если не выполняется пункт 1, то закрывать доступ на чтение директорий и субдиректорий со служебной информацией.

Похожие записи

Medium like image zooming

Полгода собирался в блог добавить zoom на изображения как на medium и вот "новый год" позволил мне это сделать.