Игра с огнем: миллионы папок .git находятся в открытом доступе » mogilew.by
 

Игра с огнем: миллионы папок .git находятся в открытом доступе

GitHub CyberNews репозиторий IPv4
Об этом стало известно благодаря исследовательской группе издания Cybernews.
Игра с огнем: миллионы папок .git находятся в открытом доступе

Почти два миллиона папок .git, содержащих важнейшую информацию о проектах, находятся в открытом доступе,
сообщила
исследовательская группа Cybernews. Эти папки содержат ценную для хакеров информацию: адреса удаленных репозиториев, журналы фиксации и другие важные метаданные. Если оставить эти данные в открытом доступе, это может привести к взлому системы.
Например, другое
недавнее исследование
команды Cybernews показало, что CarbonTV, американская служба потокового вещания, оставила сервер с исходным кодом открытым, что поставило под угрозу безопасность пользователей и репутацию компании. Утечка исходного кода произошла из-за слабого контроля доступа к папке .git.
Несмотря на важность этой информации, последнее исследование протокола IPv4 и портов 80 и 443 показало, что о ней не всегда заботятся должным образом., в частности, наиболее распространенных портов веб-служб 80 и 443, показало, что о ней не всегда заботятся должным образом.
Исследователи обнаружили 1 931 148 IP-адресов с действующими серверами, у которых папки .git находились в открытом доступе.
Более 31% всех папок в публичном доступе принадлежат разработчикам из США, следом за ними идет Китай (8%) и Германия (6,5%).

Копнув немного глубже, исследователи обнаружили, что около 6,3% публично доступных файлов конфигурации .git содержат в себе учетные данные.

На скриншоте выше показан файл .git/config с учетными данными. Такие файлы могут быть использованы злоумышленниками для просмотра/доступа/выгрузки/загрузки файлов, что полностью развязывает хакерам руки.
Эксперт Cybernews Мартинас Варейкис рекомендует разработчикам использовать файл .gitignore для сокрытия конфиденциальных данных при фиксации изменений в проекте на GitHub, а также озаботиться защитой доступа к публичным веб-серверам по IP-адресу.

SECURITYLAB.RU
рейтинг: 
  • Не нравится
  • +653
  • Нравится
ПОДЕЛИТЬСЯ:

ОСТАВИТЬ КОММЕНТАРИЙ
иконка
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Новости