如何修复.git暴露的Firebase漏洞

时间:2018-08-27 21:33:00

标签: git firebase security firebase-hosting

由于涉嫌公开扫描,我最近收到一封电子邮件:https://smitka.me/

它说明:

  

问题是您的网站上有一个公开可用的git存储库。您可以通过访问/.git/HEAD进行检查。当您访问目录/.git时,通常会出现403错误,因为没有index.html / .php文件,并且不允许显示目录列表/自动索引(如果您可以看到目录结构,则说明您的网络服务器配置错误) –这是另一种漏洞)。尽管有403,仍然可以直接访问文件。这是我从/.git/logs/HEAD中找到您的电子邮件地址的方式,这是带有有关提交者详细信息的提交列表。

我不是该领域的专家,我只是使用firebase控制台部署了我的网站。我的文件夹使用git进行版本控制,并且 屏幕截图将显示项目文件夹根目录中的文件夹结构,并显示隐藏文件。

Folder structure

在上面发布的链接中,提供了缓解示例,但我认为这些示例适用于对其服务器具有控制权的人–我使用了Firebase托管,似乎没有这种控制权。

问题:

  1. 这是一个安全漏洞吗?
  2. 如果是,我该如何缓解呢?

1 个答案:

答案 0 :(得分:3)

最省力的可能是使用.git从部署中排除目录firebase.json

{
  "database": {
    "rules": "database.rules.json"
  },
  "hosting": {
    ...
    "ignore": [
      "README.md",
      "firebase.json",
      ".firebaserc",
      ".git",
      ".gitignore",
      ".idea",
      ...
    ]
  }
}

最重要的是:仅部署为页面提供服务所必需的内容。