内容简介:在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。
虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
开发人员和网站管理员应考虑到生产.git存储库可能包含敏感数据(如私有API密钥和数据库密码)这一事实。
Smitka在他的报告中说“这些数据不应该存储在存储库中,但在以前对各种安全问题的扫描中,我发现许多开发人员没有遵循这些最佳实践。”
此外,诸如.git/index之类的repo文件可用于收集有关应用程序内部结构的信息,端点和内部应用程序结构是首先想到的。
从少数几个脆弱的本地网站,到全球范围内的数十万
Smitka最初的规模很小,只 扫描捷克和斯洛伐克的网站 。结果是,有1925个捷克站点和931个斯洛伐克开放git站点,这让他觉得问题比他之前想的更严重。
下一步是收集2.3亿个域名,并使用相同的脚本进行扫描,以找到与捷克和斯洛伐克网站一样错误配置的服务器。
四周后,Smitka发现了惊人的390000个带有暴露.git文件夹的网站,他决定与每个网站的开发人员联系,让他们知道他的发现并提供 解决建议 。
“在发送了这些邮件后,我与受影响的各方又交换了大约300条信息,以澄清这个问题,”研究人员在他的故事中写道。“我收到了近2000封感谢信,30封误报,2封诈骗/垃圾邮件指控,1封威胁要报警。”
Linux公社的RSS地址: https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/153968.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
