位于上海,服务全国!
扫描全球2亿3000万个网站,发现有390000个网站暴露源代码目录。其是由安全研究人员Vladimr Smitka做的研究测试。因为文件版本存储库中的.git文件夹的访问包含许多关于网站结构的信息,或者其它更私密的信息。
Smitka说:“有时候,您可以获得非常敏感的数据,比如数据库密码、API密钥、开发用的IDE设置等等。”这些数据不应该存储在存储库中,但是…我发现许多开发人员不遵循这些好实践经验。
有一些例外,其中存储库的可访问性不是问题——所有内容已经在GitHub上被共享,或者它只由几个静态文件组成。然而,在大多数情况下,这种暴露,不管是无意还是无意,都会造成不必要的风险。
Smitka建议说:“如果使用git部署站点,则不应该将.git文件夹留在站点的可公开访问的地方。”如果出于某种原因,你已经拥有了.git文件夹,则需要确保可阻止外部对.git文件夹的访问。”
Smitka在捷克共和国和邻国斯洛伐克完成小范围的扫描后,对全世界进行了扫描。这次全球性的扫描是一项较艰巨的任务,因为它会被焦油坑、响应超时和各种其他网络后勤问题所阻碍。
整个工作持续了大约四个星期。然后,Smitka开始进行半自动化过程,起草了一份电子邮件列表,并通知这些站点的开发人员其的发现和提供了一些补救建议,并收到一些杂乱的回应。
“在发送电子邮件后,我与受影响的各方交换了大约300条附加信息,以澄清这个问题,”Smitka报告道。我收到了将近2000封感谢信,30封假赞扬信,两封诈骗/垃圾邮件的指控,还有一份威胁要打电话给加拿大警察。”
在撰写文章时,Smitka继续通过编写的程序扫描,以发现潜在不安全的运行系统,如在Web服务器操作和其他指标的操作。