歡迎光臨
每天分享高質量文章

【每日安全資訊】安全研究員發現39萬個網站因公開的.git repo處於危險中

據外媒報道,在掃描了超過2.3億個域名之後,Lynt Services的捷克安全研究員Vladimir Smitka發現了39萬多個網站的原始碼.git儲存庫的暴露在網上。雖然公開可用的git儲存庫並非什麼新鮮事,但在網上公開共享一個私有儲存庫卻不是什麼好主意。

開發人員和網站管理員應當考慮的一件事是。一個production .git儲存庫可能包含了敏感資料例如私人API密匙和資料庫密碼。

Smitka在報告中指出:“這些資料不應該被儲存在儲存庫中,但在之前對各種安全問題的掃描中我發現許多開發人員沒有遵循這些最佳做法。”

此外,像.git/index這樣的repo檔案可以用來收集關於應用程式內部結構的信息,首先想到的是端點和內部應用程式結構。

實際上一開始,Smitka掃描的規模要比現在小得多,他只掃描了捷克和斯洛伐克的網站。然而在發現1925個捷克網站和931個斯洛伐克網站在網上公開git站點之後,他覺得問題比他之前要想象得要嚴重得多。於是他在收集了2.3億個域名後用相同的腳本對它們進行了掃描以找到與捷克和斯洛伐克網站鏈接的錯誤配置的服務器。

四周後,Smitka發現了驚人的39萬個存在暴露問題的網站。為此,他聯繫了這些網站背後的開發人員讓他們知道這一發現並提供了緩解問題的建議。“在發送了郵件之後,我與受影響方交換了大約300條信息以澄清這一問題。我收到了2000封感謝信、30封誤報、2封欺詐/垃圾郵件指控、1封威脅要向加拿大警方報警的信件。”

*來源:cnBeta.COM

更多資訊

◈ 研究發現:不靠Cookie 網站也能通過 TLS 協議追蹤你

http://t.cn/RsWgyXb

◈ IBM副總裁表示:距離量子計算面市僅剩3年

http://t.cn/RsWgtZp

◈ 美眾議院通過一套要求白宮創建一個APT資料庫的法案

http://t.cn/RsWgxjq

◈ 流行iOS Apps被髮現將用戶位置資料發送給第三方資料分析公司

http://t.cn/RsWgoZS

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂