0 |
Чешский эксперт в области ИТ-безопасности, Владимир Смитка (Vladimír Smitka) призвал операторов веб-сайтов, использующих для их развёртывания и администрирования каталоги Git, внимательнее относиться к настройке конфигураций. Проведённое им в течение месяца сканирование 230 млн сайтов выявило 390 тыс. веб-страниц с папками .git, находящимися в общедоступной части сайта.
По словам Смитки, эта ситуация чревата серьёзными рисками, так как неавторизованные чужаки имеют возможность доступа к актуальным и прошлым файлам с информацией о структуре веб-сайта или к очень конфиденциальным данным, таким как пароли баз данных, ключи API и пр.
Злоумышленник может использовать этот доступ, чтобы не торопясь реконструировать git-репозиторий сайта, разобраться какие библиотеки задействованы и, на основании полученных сведений, найти потенциальные уязвимые места.
По адресам электронной почты, обнаруженным в папках <web-site>/.git/HEAD, Смитка разослал 90 тыс. оповещений об обнаруженной проблеме, получив в ответ 2 тысячи благодарственных писем, два обвинения в спаме и одну угрозу пожаловаться на него в канадскую полицию.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |