GIT уязвимость сайта

Опубликовано в Общее 25 февраля 2020 г. 1 мин. на чтение

Уязвимости более 20 лет. Использование систем контроля версий (СКВ) стало неотъемлемой частью разработчки информационных систем. СКВ имеют скрытые служебные папки, хранящих информацию о файлах проекта и об их изменениях. При неверной конфигурации web сервера данная информация становится публичой, что позволяет получить доступ к исходникам всего проекта и открывает широкий простор для поиска дальнейших уязвимостей.

Для того, чтобы узнать, уязвим ли проект, достаточно ввести в адресной строке браузера http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN соответственно. Если отображается сообщение отличное от сообщения о ненайденной странице — стоит задуматься.

О мерах безопасности:

  1. Размещать публичную часть в поддиректории СКВ. То есть папка .git должна быть расположена на уровень выше, чем корневая директория сайта.
  2. Не хранить в СКВ чувствительную информацию: доступы, конфиги и подобное. Использовать .env файлы.
  3. Если не выполняется пункт 1, то закрывать доступ на чтение директорий и субдиректорий со служебной информацией.

Похожие записи

Руководство по Markdown

Markdown - облегчённый язык разметки, созданный с целью написания максимально читаемого и удобного для правки текста, но пригодного для преобразования HTML и другие языки публикаций.

Async CSS

  • По умолчанию при обработке CSS визуализация страницы блокируется.
  • С помощью медиазапросов обработку некоторых CSS-файлов можно отложить.
  • Браузер скачивает все CSS-файлы (как с медиазапросами, так и без них).

Классы visible-** и hidden-** в Bootstrap 4

Использование классов Bootstrap 4 для скрытия и отображения элементов на разных разрешения (xs, sm, md, lg) устройств при разработке адаптивных страниц