内容简介:在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。
虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
开发人员和网站管理员应考虑到生产.git存储库可能包含敏感数据(如私有API密钥和数据库密码)这一事实。
Smitka在他的报告中说“这些数据不应该存储在存储库中,但在以前对各种安全问题的扫描中,我发现许多开发人员没有遵循这些最佳实践。”
此外,诸如.git/index之类的repo文件可用于收集有关应用程序内部结构的信息,端点和内部应用程序结构是首先想到的。
从少数几个脆弱的本地网站,到全球范围内的数十万
Smitka最初的规模很小,只 扫描捷克和斯洛伐克的网站 。结果是,有1925个捷克站点和931个斯洛伐克开放git站点,这让他觉得问题比他之前想的更严重。
下一步是收集2.3亿个域名,并使用相同的脚本进行扫描,以找到与捷克和斯洛伐克网站一样错误配置的服务器。
四周后,Smitka发现了惊人的390000个带有暴露.git文件夹的网站,他决定与每个网站的开发人员联系,让他们知道他的发现并提供 解决建议 。
“在发送了这些邮件后,我与受影响的各方又交换了大约300条信息,以澄清这个问题,”研究人员在他的故事中写道。“我收到了近2000封感谢信,30封误报,2封诈骗/垃圾邮件指控,1封威胁要报警。”
Linux公社的RSS地址: https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/153968.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Java核心技术·卷 I(原书第10版)
[美] 凯.S.霍斯特曼(Cay S. Horstmann) / 周立新 等 / 机械工业出版社 / 2016-9 / CNY 119.00
Java领域最有影响力和价值的著作之一,由拥有20多年教学与研究经验的资深Java技术专家撰写(获Jolt大奖),与《Java编程思想》齐名,10余年全球畅销不衰,广受好评。第10版根据Java SE 8全面更新,同时修正了第9版中的不足,系统全面讲解了Java语言的核 心概念、语法、重要特性和开发方法,包含大量案例,实践性强。 一直以来,《Java核心技术》都被认为是面向高级程序员的经典教......一起来看看 《Java核心技术·卷 I(原书第10版)》 这本书的介绍吧!
