源代码泄露是一个相对比较严重的问题,一不小心可能泄露源代码账户密码等等关键数据。之前看很多同学都会扫描目录都扫到一个.git的目录,然后就没有然后了,就直接提交漏洞。
这当然是不科学的,今天教教大家如何利用这个漏洞做进一步渗透。这得得益于我之前看的一篇文章《看我如何下载印度最大电信服务商的源代码》。
技术细节1.通常我们扫描一个网站扫到.git目录返回200,代表GIT目录存在
2.我们使用工具git-dumper。它会自动递归完整git目录,然后存在本地
缓解方案缓解这种攻击的最简单的办法就是禁止访问.git目录
<DirectoryMatch"^/.*/\.git/">
Requireall denied
</DirectoryMatch>
大家还等什么?,赶紧去测试下自家的吧