Tho*_*ter 7 security git lighttpd
在我的一个 Web 应用程序中,最近几周我不小心让 Web 服务器可读的 .git 目录。索引列表被禁用。访问 website.com/.git URL 将导致与任何其他 404 错误无法区分的 404 错误,但例如浏览到 website.com/.git/config 会下载该文件。
我的应用程序存在哪些风险?是否有可能公开足够的信息以至于有人可以下载整个应用程序的源代码?
是的,可以下载整个存储库内容(包括历史记录)——很简单git\xc2\xa0clone就可以做到。然而,这假设有人知道该目录的存在.git......更有可能没有人注意到它。您可以随时检查网络服务器的日志来确定。
| 归档时间: |
|
| 查看次数: |
4509 次 |
| 最近记录: |