GIT уязвимость сайта

Уязвимости более 20 лет. Использование систем контроля версий (СКВ) стало неотъемлемой частью разработчки информационных систем. СКВ имеют скрытые служебные папки, хранящих информацию о файлах проекта и об их изменениях. При неверной конфигурации web сервера данная информация становится публичой, что позволяет получить доступ к исходникам всего проекта и открывает широкий простор для поиска дальнейших уязвимостей.

Для того, чтобы узнать, уязвим ли проект, достаточно ввести в адресной строке браузера http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN соответственно. Если отображается сообщение отличное от сообщения о ненайденной странице — стоит задуматься.

О мерах безопасности:

  1. Размещать публичную часть в поддиректории СКВ. То есть папка .git должна быть расположена на уровень выше, чем корневая директория сайта.
  2. Не хранить в СКВ чувствительную информацию: доступы, конфиги и подобное. Использовать .env файлы.
  3. Если не выполняется пункт 1, то закрывать доступ на чтение директорий и субдиректорий со служебной информацией.

Похожие записи

Полезные горчие клавиши Youtube

При просмотре роликов бывает хочется немного ускорить воспроизведение, для этого есть функция "скорость видео" в настройках ролика. Чтобы её включить не задействуя мышь нужно нажать "Shift + >" или "Shift + <" для ускорения и замедления соответственно. И еще некоторые горячие клавиши youtube:

Кратко о внедрение зависимостей и сервис контейнере

Cтатья о том, что такое "Внедрение зависимостей" и "Сервис-контейнер" отталкиваясь от их реализации в PHP фреймворках. Статья написана по мотивам статей Фабьена Потенсье, ведущиго разработчика и идеолога фреймворка Symfony, а также документации фреймворка Laravel.

Классы visible-** и hidden-** в Bootstrap 4

Использование классов Bootstrap 4 для скрытия и отображения элементов на разных разрешения (xs, sm, md, lg) устройств при разработке адаптивных страниц

Medium like image zooming

Полгода собирался в блог добавить zoom на изображения как на medium и вот "новый год" позволил мне это сделать.