해당 .git 폴더를 제거하십시오.
403 오류가 발생하면 정상입니다. 이는 기본 보안인 디렉터리 검색이 비활성화되었음을 의미합니다. 그러나
.git/
폴더의 많은 파일에 액세스할 수 있어 위험에 처할 수 있습니다..git/ 폴더 유출: 쉬운 익스플로잇
주의: 아래 도구 사용에 따른 위험은 사용자가 감수해야 합니다.
왕이항 / GitHacker
🕷️ 숨김, 공통 분기, 공통 태그를 포함하여 전체 Git 저장소를 복원할 수 있는 `.git` 폴더 악용 도구입니다.
GitHacker
설명
이는 폴더 유출 취약점.git
을 악용하는 다중 스레드 도구입니다. 대상.git
폴더를 거의 완벽하게 다운로드할 수 있습니다. 이 도구는 일반DirectoryListings
폴더 파일의 무차별 대입으로 인해 .git
기능이 비활성화된 경우에도 작동합니다.
GitHacker의 도움으로 개발자의 커밋 기록, 분기, ..., 숨김을 볼 수 있어 대상 저장소를 더 잘 이해하고 보안 취약점을 찾을 수도 있습니다.
선언문(중요)
Several VULNERABILITIES have been reported recently, if you are using
GitHacker <= 1.1.0, please update your tool as soon as possible.
원격.git
폴더는 악성일 수 있으므로 공격을 받지 않도록
일회용 감옥 환경에서 이 도구를 실행하는 것이 좋습니다.
(예: 도커 컨테이너).
요구 사항
Several VULNERABILITIES have been reported recently, if you are using GitHacker <= 1.1.0, please update your tool as soon as possible.
Docker에서의 사용(권장)
# print help info docker run wangyihang/githacker --help # quick start docker run -v $(pwd)…
Anyone can use automated scripts such as the above repository to download your source code and view the entire git history. Git is also a filesystem that follows some conventions, so you can guess directories and files easily.
Most projects use master
or main
as master branch, so it's easy to guess "hidden" paths in the /.git/
folder. Note that the tool can even brute force branches and tags if that's necessary.
If the scan succeeds, you get a result
folder on your local machine (you can customize the folder name with the --output-dir
option).
A typical result is the equivalent of git checkout master
for free!
.git/ 폴더를 배포하지 않거나 최소한 액세스를 금지합니다.
The .git/
folder can contain lots of information, including the source code itself but also names, mails, and, in the worst-case scenario, hard coded credentials (e.g. databases, tokens, keys).
For a hacker, it's like Christmas!
You should completely disable public access to such folder. Modern CI/CD and deployment solutions are relatively easy to configure and allow cleaning such directories that have nothing to do with the production environment.
Note that some web hosting providers disable access to the folder for security purpose, but it's not always the case and it's not the default configuration, so check it before deploying anything.
I recommend doing all hardenings available. While it might seem a bit overkill, it's often a good idea to take into account any misconfiguration that could occur in the future or a miscalculated migration, so:
- Disable public access in the
.git/
folder by default on your server - Add a rule to forbid access to the folder in your source code, for example, in the
.htaccess
file for Apache configurations - Don't even deploy such folder in public directories if that's possible
If you don't want to touch sensitive files such as the .htaccess
, you can add a smaller .htaccess
at the root of the .git/
folder on your server with just the following line inside:
Deny from all
그러나 서버 구성 또는 기본
.git/
의 .htaccess
폴더에 대해 404를 반환하는 것이 더 좋습니다. 그러면 해커가 아무 것도 추측할 수 없습니다.RedirectMatch 404 /\.git
다시 말하지만 가능하면 두 가지 보안 계층으로 두 규칙을 모두 추가하는 것이 좋습니다. 누군가 기본
.htaccess
을 수정하고 실수로 규칙을 삭제하는 경우에도 여전히 .git/
폴더에 폴백이 있습니다.한 서버에서 다른 서버로 마이그레이션할 때 잘못된 구성 및 감독이 발생합니다.
Reference
이 문제에 관하여(해당 .git 폴더를 제거하십시오.), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://dev.to/jmau111/please-remove-that-git-folder-3i9a텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)