39万网站因为公共git存储库而面临风险

栏目: 编程工具 · 发布时间: 5年前

内容简介:在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。

在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。

虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。

39万网站因为公共git存储库而面临风险

开发人员和网站管理员应考虑到生产.git存储库可能包含敏感数据(如私有API密钥和数据库密码)这一事实。

Smitka在他的报告中说“这些数据不应该存储在存储库中,但在以前对各种安全问题的扫描中,我发现许多开发人员没有遵循这些最佳实践。”

39万网站因为公共git存储库而面临风险

此外,诸如.git/index之类的repo文件可用于收集有关应用程序内部结构的信息,端点和内部应用程序结构是首先想到的。

39万网站因为公共git存储库而面临风险

从少数几个脆弱的本地网站,到全球范围内的数十万

Smitka最初的规模很小,只 扫描捷克和斯洛伐克的网站 。结果是,有1925个捷克站点和931个斯洛伐克开放git站点,这让他觉得问题比他之前想的更严重。

下一步是收集2.3亿个域名,并使用相同的脚本进行扫描,以找到与捷克和斯洛伐克网站一样错误配置的服务器。

四周后,Smitka发现了惊人的390000个带有暴露.git文件夹的网站,他决定与每个网站的开发人员联系,让他们知道他的发现并提供 解决建议

“在发送了这些邮件后,我与受影响的各方又交换了大约300条信息,以澄清这个问题,”研究人员在他的故事中写道。“我收到了近2000封感谢信,30封误报,2封诈骗/垃圾邮件指控,1封威胁要报警。”

Linux公社的RSS地址: https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/153968.htm


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript语言精粹

JavaScript语言精粹

道格拉斯•克罗克福德 (Douglas Crockford) / 赵泽欣、鄢学鹍 / 电子工业出版社 / 2012-9-1 / 49.00元

JavaScript 曾是“世界上最被误解的语言”,因为它担负太多的特性,包括糟糕的交互和失败的设计,但随着Ajax 的到来,JavaScript“从最受误解的编程语言演变为最流行的语言”,这除了幸运之外,也证明了它其实是一门优秀的语言。Douglas Crockford 在本书中剥开了JavaScript 沾污的外衣,抽离出一个具有更好可靠性、可读性和可维护性的JavaScript 子集,让你看......一起来看看 《JavaScript语言精粹》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具