GIT уязвимость сайта / Тяпк

Уязвимости более 20 лет. Использование систем контроля версий (СКВ) стало неотъемлемой частью разработчки информационных систем. СКВ имеют скрытые служебные папки, хранящих информацию о файлах проекта и об их изменениях. При неверной конфигурации web сервера данная информация становится публичой, что позволяет получить доступ к исходникам всего проекта и открывает широкий простор для поиска дальнейших уязвимостей.

Для того, чтобы узнать, уязвим ли проект, достаточно ввести в адресной строке браузера http://domain.ru/.git/HEAD или http://domain.ru/.svn/entries для Git и SVN соответственно. Если отображается сообщение отличное от сообщения о ненайденной странице — стоит задуматься.

О мерах безопасности:

Размещать публичную часть в поддиректории СКВ. То есть папка .git должна быть расположена на уровень выше, чем корневая директория сайта.
Не хранить в СКВ чувствительную информацию: доступы, конфиги и подобное. Использовать .env файлы.
Если не выполняется пункт 1, то закрывать доступ на чтение директорий и субдиректорий со служебной информацией.

GIT уязвимость сайта

Похожие записи

На каких CMS сделаны самые популярные сайты рунета?

Что такое лендинг?

Как проверить ширину канала между компьютерам?

Open with Code

Xiaomi Redmi 4 не работает после обновления 9.5.3.0

Ошибки в консоли chrome при http запросе