几天前,我收到来自匿名(自称专家)的电子邮件,内容涉及我的私有存储库的git源代码可见性问题。
电子邮件的内容如下。
====================================
我在您的网站上发现了一个严重的安全问题,请尽快引起您的注意,我将在下面发送有关此问题的详细信息。请仔细阅读所有详细信息。
您知道该网站使用git存储库来存储其源代码,但我发现/.git端点在该网站上未得到正确处理。因此,git对象的内容对任何人都是公开可见的。由于我们可以轻松计算下一个文件的SHA-1哈希。使用简单的脚本,任何人都可以下载网站的整个源代码。
这里有一些例子。
任何未经授权的人都可以下载和查看网站的整个源代码,并且恶意攻击者可以用来执行各种操作。网站污损或加密劫持是其中一些。
我正在附上从存储库收集的源代码的屏幕截图,以作为概念证明。请检查附件。
(屏幕截图包含我的网站文件夹结构)
解决方法是正确锁定站点上的/.git文件,如果使用apache,则可以通过编辑.htaccess文件和httpf.conf文件来关闭该文件。
==========================================
我设法使用htaccess锁定了.git文件夹。我想问一下是Git的错误还是我的存储库缺少某些东西?