如何下载XXXX的源代码

源代码泄露是一个相对比较严重的问题,一不小心可能泄露源代码账户密码等等关键数据。之前看很多同学都会扫描目录都扫到一个.git的目录,然后就没有然后了,就直接提交漏洞。

这当然是不科学的,今天教教大家如何利用这个漏洞做进一步渗透。这得得益于我之前看的一篇文章《看我如何下载印度最大电信服务商的源代码》。

技术细节    

1.通常我们扫描一个网站扫到.git目录返回200,代表GIT目录存在

如何下载XXXX的源代码

2.我们使用工具git-dumper。它会自动递归完整git目录,然后存在本地

如何下载XXXX的源代码

如何下载XXXX的源代码

缓解方案

缓解这种攻击的最简单的办法就是禁止访问.git目录

<DirectoryMatch"^/.*/\.git/">

Requireall denied

</DirectoryMatch>

大家还等什么?,赶紧去测试下自家的吧

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/wpsdwf.html