安全研究員發現39萬個網站因公開的.git repo處於危險中

Editor發表於2018-09-10

據外媒報導,在掃描了超過2.3億個域名之後,Lynt Services的捷克安全研究員Vladimir Smitka發現了39萬多個網站的原始碼.git儲存庫的暴露在網上。雖然公開可用的git儲存庫並非什麼新鮮事,但在網上公開共享一個私有儲存庫卻不是什麼好主意。


安全研究員發現39萬個網站因公開的.git repo處於危險中 


開發人員和網站管理員應當考慮的一件事是。一個production .git儲存庫可能包含了敏感資料例如私人API密匙和資料庫密碼。


Smitka在報告中指出:“這些資料不應該被儲存在儲存庫中,但在之前對各種安全問題的掃描中我發現許多開發人員沒有遵循這些最佳做法。”


此外,像.git/index這樣的repo檔案可以用來收集關於應用程式內部結構的資訊,首先想到的是端點和內部應用程式結構。


實際上一開始,Smitka掃描的規模要比現在小得多,他只掃描了捷克和斯洛伐克的網站。然而在發現1925個捷克網站和931個斯洛伐克網站在網上公開git站點之後,他覺得問題比他之前要想象得要嚴重得多。於是他在收集了2.3億個域名後用相同的指令碼對它們進行了掃描以找到與捷克和斯洛伐克網站連結的錯誤配置的伺服器。


四周後,Smitka發現了驚人的39萬個存在暴露問題的網站。為此,他聯絡了這些網站背後的開發人員讓他們知道這一發現並提供了緩解問題的建議。“在傳送了郵件之後,我與受影響方交換了大約300條資訊以澄清這一問題。我收到了2000封感謝信、30封誤報、2封欺詐/垃圾郵件指控、1封威脅要向加拿大警方報警的信件。”


開發人員和網站管理員應當考慮的一件事是。一個production .git儲存庫可能包含了敏感資料例如私人API密匙和資料庫密碼。


Smitka在報告中指出:“這些資料不應該被儲存在儲存庫中,但在之前對各種安全問題的掃描中我發現許多開發人員沒有遵循這些最佳做法。”


此外,像.git/index這樣的repo檔案可以用來收集關於應用程式內部結構的資訊,首先想到的是端點和內部應用程式結構。


實際上一開始,Smitka掃描的規模要比現在小得多,他只掃描了捷克和斯洛伐克的網站。然而在發現1925個捷克網站和931個斯洛伐克網站在網上公開git站點之後,他覺得問題比他之前要想象得要嚴重得多。於是他在收集了2.3億個域名後用相同的指令碼對它們進行了掃描以找到與捷克和斯洛伐克網站連結的錯誤配置的伺服器。


四周後,Smitka發現了驚人的39萬個存在暴露問題的網站。為此,他聯絡了這些網站背後的開發人員讓他們知道這一發現並提供了緩解問題的建議。“在傳送了郵件之後,我與受影響方交換了大約300條資訊以澄清這一問題。我收到了2000封感謝信、30封誤報、2封欺詐/垃圾郵件指控、1封威脅要向加拿大警方報警的信件。”



來源:cnBeta.COM


相關文章