新的Gitjacker工具允许您查找在线公开的.git文件夹

一个名为Gitjacker的新工具可以帮助开发人员发现他们意外地在线上传了/.git文件夹并将敏感信息暴露给攻击者。

Gitjacker是由英国软件工程师创建的Liam Galvin是用Go编写的，上个月作为免费下载发布https://github.com/liamg/gitacker“target=”noopener noreferrer nofollow“data component=”externalLink“>在GitHub上以最简单的形式出现，该工具允许用户扫描域并识别生产系统上/.git文件夹的位置。

/.git文件夹永远不应在线上载。

“a.git目录存储所有[git]存储库数据，如配置、提交历史记录和存储库中每个文件的实际内容，“加尔文在a上个月他发布了Gitjacker。

”如果您可以检索给定网站的.git目录的完整内容，您将能够访问该站点的原始源代码，以及经常有用的配置数据，如数据库密码、密码盐等，”他补充道。

所有开发人员都知道这一点；但是，意外也会发生。

例如，在网站或web应用程序中工作的开发人员可能会意外地在线复制整个Git存储库，包括/.git文件夹，忘记删除它。此外，/.git文件夹还可以包含在自动构建链中，并添加到后来作为web服务器安装的Docker容器中。

Gitjacker不仅可以找到/.git文件夹，还可以获取其内容

攻击者可以在internet上扫描这些类型的文件夹，识别意外暴露的系统，下载它们的内容，并获得对敏感配置数据甚至应用程序源代码的访问。

“启用目录列表的Web服务器使这种攻击特别容易，因为这只是递归地下载.git目录中的每个文件，然后运行以下命令从存储的对象文件中提取文件：git checkout--.，Galvin说。

“当目录列表被禁用时，攻击仍然可能发生，但是通常很难在中检索完整的存储库“这种情况，”加尔文补充道。

然而，这正是吉特杰克的用武之地。Galvin说，他开发Gitjacker是为了为用户处理git存储库的下载和提取，即使在禁用web目录列表的情况下也是如此，Gitjacker很可能也会被威胁参与者滥用（，因为威胁参与者有很长的历史在其操作中滥用开源工具）。

为什么不呢？Gitjacker的功能允许攻击者只需轻敲几下键盘就可以检索敏感的配置文件。

此外，攻击者还可以寻找/.git文件夹。即使在多年的警告之后[1，2，3，4]，/.git暴露量仍然很大，这意味着攻击者很容易找到在线暴露的/.git文件夹的域。

例如，在2018年，一位捷克开发人员扫描了超过2.3亿个网站，发现39万个/.git文件夹，但只有150个，其中000个已修复。

Microsoft在Internet Explorer中添加了禁用JScript的选项操纵捐赠者、投票者的模式同意
2023-03-22 10:04:21

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

 点击询问定制

广告服务展示