GIT уязвимость сайта

Уязвимости более 20 лет. Использование систем контроля версий (СКВ) стало неотъемлемой частью разработчки информационных систем. СКВ имеют скрытые служебные папки, хранящих информацию о файлах проекта и об их изменениях. При неверной конфигурации web сервера данная информация становится публичой, что позволяет получить доступ к исходникам всего проекта и открывает широкий простор для поиска дальнейших уязвимостей.

Для того, чтобы узнать, уязвим ли проект, достаточно ввести в адресной строке браузера http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN соответственно. Если отображается сообщение отличное от сообщения о ненайденной странице — стоит задуматься.

О мерах безопасности:

  1. Размещать публичную часть в поддиректории СКВ. То есть папка .git должна быть расположена на уровень выше, чем корневая директория сайта.
  2. Не хранить в СКВ чувствительную информацию: доступы, конфиги и подобное. Использовать .env файлы.
  3. Если не выполняется пункт 1, то закрывать доступ на чтение директорий и субдиректорий со служебной информацией.

Похожие записи

Классы visible-** и hidden-** в Bootstrap 4

Использование классов Bootstrap 4 для скрытия и отображения элементов на разных разрешения (xs, sm, md, lg) устройств при разработке адаптивных страниц