【安全圈】专家发现，包含我国在内的数百万的.git文件夹暴露在公众面前

网络新闻研究小组发现，近200万个包含重要项目信息的.git文件夹被暴露在公众面前。

Git是最流行的开源分布式版本控制系统（VCS），由Linus Torvalds在近20年前为Linux内核的开发而开发，其他内核开发者也为其最初的开发做出了贡献。它允许协调开发源代码的程序员之间的工作，并允许跟踪变化。

一个.git文件夹包含了项目的基本信息，如远程仓库地址、提交历史日志和其他基本元数据。让这些数据处于开放状态会导致漏洞和系统暴露。例如，Cybernews最近的另一项研究发现，美国的流媒体服务CarbonTV将一台服务器的源代码开放，危及用户安全和公司的声誉。由于对.git文件夹的访问控制不佳，导致源代码泄露。

Cybernews的研究人员对最常见的网络服务端口80和443进行了研究，发现有1,931,148个IP地址的实时服务器的.git文件夹结构可以被公众访问。

"让公众访问.git文件夹可能会导致源代码的暴露。从.git文件夹中获取部分或全部源代码所需的工具是免费的，而且是众所周知的，这可能会导致更多的内部泄露，或者让恶意行为者更容易进入系统，"Cybernews的研究员Martynas Vareikis说。

超过31%的公开曝光的.git文件夹位于美国，其次是中国（8%）和德国（6.5%）。

约有6.3%的暴露的.git配置文件在配置文件本身有其部署凭证。

上面的截图显示的是.git/config文件，凭证已被遮挡。

"凭证泄露的情况更糟糕。威胁者可以利用它们来查看/访问/拉动/推动所有存储库，为恶意行为者提供更多机会，如植入恶意广告、改变内容和信用卡盗刷。Vareikis警告说："当你有完全的权限时，可能性是无穷的。

他说，开发者需要利用.gitignore文件，告诉Git在将项目提交到GitHub仓库时要忽略哪些文件。一般来说，提交任何敏感文件都不是一个好主意，即使是提交到私人仓库。

CyberNews专家注意到，让公开暴露的网络服务器通过IP访问仍然是一种常见的做法。  域名，如cybernews.com，是为了让用户记住并方便访问，但它们的功能是作为用一连串数字表示的IP地址的别名。由于专注于保护公众使用的主要域名地址，开发人员往往忘记为相应的IP地址设置相同的访问控制规则，这可能导致威胁者修改域名和配置访问规则等。