互联网科技/NEWS CENTER

互联网大漏洞:每600个网站就有1个暴露了.git文件

发布时间:2017-12-29

  互联网大漏洞:每600个网站都有暴露。 Git文件夹

  对于Web开发人员,将.git文件夹暴露给外部世界是一个新手的错误。因为这将允许任何人下载您的整个源代码库,包括数据库密码,加密盐,哈希和第三方接口密钥API,以及您的用户名和密码。多年来,作为一个个人项目,我已经建立了一个150万个网站数据库,大多数是权威性的网站(如BBC,卫报,或覆盖政府,教育和军事领域的网站)。在这150万个网站中,有2402个.git文件夹被暴露和下载,0.16%的受欢迎的网站正在遭受危险。虽然一些.git版本库是无害的,但随机抽取网站样本往往可以揭示危险信息。在我收集的数据中,有数百个数据库密码,包括服务API密钥(如AWS或Google Cloud),以及一些FTP的详细信息,包括网站的Web服务器,有的还包含数据库备份中的.SQL文件,以及那些应该有隐藏文件夹的人。早些时候,一个人权组织透露,参加同性恋权利演习的每个人(包括他们的家庭住址和电子邮件)都存储在.git存储库的CSV文件中,并且是公开的从网站下载。开发人员请确保.git文件夹在http://www.yourdomain.com/.git/上不可见。如果没有,请立即锁定请删除该文件夹,并找到一个更好的方式来部署代码,或至少确保禁用.htaccess访问该文件夹。假设某人已经下载了您的信息,以了解他们可能会看到的内容。此外,您还需要知道哪些密码,salt,Hash或API密钥需要更改,可能访问了哪些数据,他们可能做了哪些更改或伤害您?

澳门永利手机版

2017-12-29

更多内容,敬请关注:

澳门永利手机版官网:/

澳门永利手机版新浪官方微博:@澳门永利手机版

澳门永利手机版发布微信号: