Damián Digital

Uno de cada 600 sitios web tiene un .git expuesto

Para los desarrolladores web, exponer su carpeta .git al mundo es un error de principiante. Permite que cualquiera pueda descargar todo su código fuente, que a menudo incluye las contraseñas de bases de datos, hashes y claves de API de terceros o los nombres de usuario y contraseñas.

Con los años, Jamie M. Brown ha construido una base de datos de 1,5 millones de dominios respetados razonable. Estos son todos los sitios de la autoridad, ya sea (como la BBC, el gobierno inglés, educativo o dominios militares), o son dominios que tienen enlaces entrantes de al menos uno de esos tipos de sitios.

De esos 1,5 millones de sitios, 2.402 tienen su carpeta .git expuesto y descargable. Eso es 1 en 600 sitios respetables decentes, o 0,16% de la Internet, que se expone peligrosamente.

Algunos de estos repositorios .git son inofensivos, pero a partir de una muestra aleatoria muchos contienen información peligrosa que proporciona un vector directo a atacar el sitio. Cientos enumeran las contraseñas de base de datos, o incluyen claves API para servicios como Amazon AWS o Google Cloud. Otros detalles incluyen FTP a su propio servidor web. Muchas copias de seguridad de bases de datos contenidas en archivos .sql, o el contenido de las carpetas ocultas que están destinados a ser restringido.

Un grupo prominente de derechos humanos expuso a cada persona que había firmado para una campaña de derechos de los homosexuales (incluyendo su dirección y direcciones de correo electrónico) en un archivo CSV en su repositorio Git, públicamente descargable desde su página web. Una empresa que vende informes digitales proporcionan toda su base de datos de informes de forma gratuita a cualquier persona que quería descargar su carpeta .git.

Así que los desarrolladores, compruebe que su carpeta .git no es visible en su sitio web en http://www.tudominio.com/.git/. Si es así, bloquearla inmediatamente. Lo ideal sería eliminar la carpeta y encontrar una mejor manera de implementar el código, o al menos asegurarse el acceso está prohibido el uso de un .htaccess. Entonces supongamos que alguien ha descargado todo ya y funciona lo que podría haber visto. Lo contraseñas, hashes o las claves API ¿Qué necesita cambiar? ¿Qué datos podrían haber accedido? ¿Qué podría haber hecho para alterar o poner en peligro su servicio?

Y, por favor, correr la voz entre otros desarrolladores también – porque ahora este debe ser uno de los mayores agujeros en internet.

Fuente: http://www.jamiembrown.com/blog/

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: