网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


安全研究员发现39万个网站因公开的.git repo处于危险中

2018-09-10 06:29 推荐: 浏览: 66 views 字号:

摘要: 据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储存库却不是什么好主意...

据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储存库却不是什么好主意。

开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。

Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”

此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。

实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。

四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”

*来源:cnBeta.COM

更多资讯

◈ 研究发现:不靠Cookie 网站也能通过 TLS 协议追踪你

 IBM副总裁表示:距离量子计算面市仅剩3年

◈ 美众议院通过一套要求白宫创建一个APT数据库的法案

◈ 流行iOS Apps被发现将用户位置数据发送给第三方数据分析公司

(信息来源于网络,安华金和搜集整理)

联系站长租广告位!

中国首席信息安全官


关闭


关闭