Как я обнаружил утечку исходного кода на 30+ веб-сайтах через папку .git в открытом доступе, с использованием Google Dorks

[Man]

Я нашел утечку исходного кода на более чем 30 веб-сайтах через открытую папку .git, используя Google Dorks, как показано ниже:

Google Dorks: “index of” inurl:.git

Google Dorks: allintext:index filetype:git

Я обнаружил открытую папку .git с конфиденциальным исходным кодом на одном из правительственных сайтов Индии и сообщил об этом в NCIIPC (Национальный центр защиты критической информационной инфраструктуры, созданный в рамках IT-акта 2000 года (с поправками 2008 года), на основании официального уведомления от 16 января 2014 года, находится в Нью-Дели и назначен национальным узловым агентством по защите критической информационной инфраструктуры). После этого я получил от них подтверждение, как показано ниже.

Влияние: Любой злоумышленник может скачать открытую папку .git на свой локальный компьютер, используя инструменты для выгрузки git, и получить доступ ко всем последним коммитам в этой папке.

Для более подробной информации о том, как это работает и как злоумышленники могут получить конфиденциальные данные, посмотрите следующие статьи:

Ресурсы:

1. https://jacobriggs.io/blog/posts/source-code-disclosure-via-exposed-git-29.html
2. https://iosentrix.com/blog/git-source-code-disclosure-vulnerability/
3. https://captainnoob.medium.com/source-code-disclosure-via-exposed-git-folder-d22919c590a2

Источник

 

[marketolog)]

и сообщил об этом в

вопрос - ты че дебил?
в другой раз когда найдешь утечку пиши мне, хоть денег получишь..


в ахуе я.. и не кури больше то что ты курил когда тебе в голову пришла идея сообщить об этом