信息泄露(源码泄露)
git源码泄露:
git版本控制器使用不当:开发者在空目录执行git init时,git会创建一个.git目录。这个目录包含git存储和操作的对象,如果想备份或者复制一个版本库,只需把这个目录复制到另一处就可以了。
漏洞利用:
开发者在发布代码时,如果没有把.git目录删除,直接发布到了运行目录中,攻击者就可以通过这个文件夹来恢复源代码,利用工具:GitHack,执行命令:
GitHack.py http://www.localhost.test/.git/ ,就可以将源代码复制下来。
使用此工具(dvcs-ripper)下载网站源码:
https://github.com/kost/dvcs-ripper
如果您只想要docker版本,则在这里:
https://github.com/kost/docker-webscan/tree/master/alpine-dvcs-ripper
只需说一句话:
docker run --rm -it -v /path/to/host/work:/work:rw k0st/alpine-dvcs-ripper rip-git.pl -v -u http://www.example.org/.git
对于mac系统,在挪动的时候避免把隐藏文件DS_Store也搬到了生产环境中,导致暴露了目录结构。
代码泄露问题的防御建议:
发布代码时尽量使用rsync工具来进行,此工具可以排查一些目录或者文件,比如要排除所有的.svn文件,可以使用下面的命令来排除:
rsync -avlH --exclude=*.svn [email protected]:~/tmp/ /data/version/test/
- Git仓库的根目录新建一个文件夹,把代码放到了此文件夹中,网站的根目录应该(直接)指向此文件夹,这样攻击者就不能访问到.git文件夹的内容了。
- 不要直接知用Git或者SVN等工具拉取代码到生产目录,可以在一个临时目录先拉取下来,把其中的一些版本控制器附带信息去掉后再哦同步到生产目录。
- 使用MAC系统的开发者需要注意,不要把.ds_store文件上传上去,因为里面包含一些目录信息,会导致文件名称泄露。
- Web生产目录中不要存放代码压缩文件,这些文件极有可能被攻击者发现,从而下载下来。