内容简介:在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
在扫描超过2.3亿个域名后,Lynt Services的捷克安全研究员Vladimir Smitka发现了超过390000个网站,其中包含源代码git存储库。
虽然公开可用的git存储库并不是闻所未闻的,其中许多可以在GitHub等在线软件开发平台上找到,但是在网络上公开共享一个私有存储库并不是一个好主意。
开发人员和网站管理员应考虑到生产.git存储库可能包含敏感数据(如私有API密钥和数据库密码)这一事实。
Smitka在他的报告中说“这些数据不应该存储在存储库中,但在以前对各种安全问题的扫描中,我发现许多开发人员没有遵循这些最佳实践。”
此外,诸如.git/index之类的repo文件可用于收集有关应用程序内部结构的信息,端点和内部应用程序结构是首先想到的。
从少数几个脆弱的本地网站,到全球范围内的数十万
Smitka最初的规模很小,只 扫描捷克和斯洛伐克的网站 。结果是,有1925个捷克站点和931个斯洛伐克开放git站点,这让他觉得问题比他之前想的更严重。
下一步是收集2.3亿个域名,并使用相同的脚本进行扫描,以找到与捷克和斯洛伐克网站一样错误配置的服务器。
四周后,Smitka发现了惊人的390000个带有暴露.git文件夹的网站,他决定与每个网站的开发人员联系,让他们知道他的发现并提供 解决建议 。
“在发送了这些邮件后,我与受影响的各方又交换了大约300条信息,以澄清这个问题,”研究人员在他的故事中写道。“我收到了近2000封感谢信,30封误报,2封诈骗/垃圾邮件指控,1封威胁要报警。”
Linux公社的RSS地址: https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2018-09/153968.htm
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Programming in Haskell
Graham Hutton / Cambridge University Press / 2007-1-18 / GBP 34.99
Haskell is one of the leading languages for teaching functional programming, enabling students to write simpler and cleaner code, and to learn how to structure and reason about programs. This introduc......一起来看看 《Programming in Haskell》 这本书的介绍吧!
