内容简介:编者注:使用公开仓库存放敏感信息,危机重重。推荐使用码云( gitee.com )的私有仓库,完全免费。 据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的...
编者注:使用公开仓库存放敏感信息,危机重重。推荐使用码云( gitee.com )的私有仓库,完全免费。
据外媒报道,在扫描了超过2.3亿个域名之后,Lynt Services的捷克安全研究员Vladimir Smitka发现了39万多个网站的源代码.git储存库的暴露在网上。虽然公开可用的git储存库并非什么新鲜事,但在网上公开共享一个私有储存库却不是什么好主意。
开发人员和网站管理员应当考虑的一件事是。一个production .git储存库可能包含了敏感数据例如私人API密匙和数据库密码。
Smitka在报告中指出:“这些数据不应该被储存在储存库中,但在之前对各种安全问题的扫描中我发现许多开发人员没有遵循这些最佳做法。”
此外,像.git/index这样的repo文件可以用来收集关于应用程序内部结构的信息,首先想到的是端点和内部应用程序结构。
实际上一开始,Smitka扫描的规模要比现在小得多,他只扫描了捷克和斯洛伐克的网站。然而在发现1925个捷克网站和931个斯洛伐克网站在网上公开git站点之后,他觉得问题比他之前要想象得要严重得多。于是他在收集了2.3亿个域名后用相同的脚本对它们进行了扫描以找到与捷克和斯洛伐克网站链接的错误配置的服务器。
四周后,Smitka发现了惊人的39万个存在暴露问题的网站。为此,他联系了这些网站背后的开发人员让他们知道这一发现并提供了缓解问题的建议。“在发送了邮件之后,我与受影响方交换了大约300条信息以澄清这一问题。我收到了2000封感谢信、30封误报、2封欺诈/垃圾邮件指控、1封威胁要向加拿大警方报警的信件。”
稿源:cnbeta
【声明】文章转载自:开源中国社区 [http://www.oschina.net]
以上所述就是小编给大家介绍的《安全研究发现39万网站因公开的 .git repo 处于危险中》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 安全研究员发现39万个网站因公开的.git repo处于危险中
- Python 3.7 上架微软商店,尚处于评估阶段
- WannaCry 病毒爆发两周年:百万台电脑依然处于危险之中
- Netflix开源的Hystrix不再开发新功能,目前处于维护模式
- 支付宝小程序向个人开发者开放公测:处于限量状态
- JDK 11 已处于特性冻结状态,看看 Java 11 API 变更提案
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。