Как я обнаружил утечку исходного кода на 30+ веб-сайтах через папку .git в открытом доступе, с использованием Google Dorks.
Я нашел утечку исходного кода на более чем 30 веб-сайтах через открытую папку .git, используя Google Dorks, как показано ниже:
Google Dorks: “index of” inurl:.git
Google Dorks: allintext:index filetype:git
Я обнаружил открытую папку .git с конфиденциальным исходным кодом на одном из правительственных сайтов Индии и сообщил об этом в NCIIPC (Национальный центр защиты критической информационной инфраструктуры, созданный в рамках IT-акта 2000 года (с поправками 2008 года), на основании официального уведомления от 16 января 2014 года, находится в Нью-Дели и назначен национальным узловым агентством по защите критической информационной инфраструктуры). После этого я получил от них подтверждение, как показано ниже.
Влияние: Любой злоумышленник может скачать открытую папку .git на свой локальный компьютер, используя инструменты для выгрузки git, и получить доступ ко всем последним коммитам в этой папке.
Для более подробной информации о том, как это работает и как злоумышленники могут получить конфиденциальные данные, посмотрите следующие статьи: