Annual Open Tech Conference - ISsoft Insights 2021. June 19. Learn more.
×Закрыть

GoIT Source Code Leakage

Хелло ребзя,
Решил ознакомиться с веб ресурсом всем известного GoIT и вот что я заметил, несчасные не могут правильно настроить свой production сервер, светя исходными говнокодами своего ресурса, но уже готовы обучать новые ИТ кадры и двигаться в светлое будущее, вот мне интересно, не стыдно ли Вам дорогая администрицая GoIT ?

PoC:
goit.ua/.git/refs/heads/master
goit.ua/...f5d9c1206b62ed376a1890887

По понятным причинам не выкладываю експлойт скачивающий остальной конткнт из /.git/ и востанавливающий исходные коды.

И дорогие DevOps’ы GoIT, делать папку .git не индексируемой не достаточно да и деплоить с использованием git это как ср*ть стоя на руках :)

Ху*к, ху*к и в production by GoIT :)

Good Luck !

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Спасибо, подгорело

я как-то открыл доу в браузере, нажал контрол-У и — ой — скачал хтмль код самого доу !! Вот жеж любители

Ихняя техадминистрация — не айтишники.

Ихняя специализация — создавать светлый мир будующего, а не учить делать правильный код.

Смысел их об этом переспрашивать?

Не хочу показаться грубым, но от слов «Ихняя» и «Смысел» хочется выколоть себя глаза)))

А от «будующего» еще и зашиваться тянет.

Но это просто косвенное указание степени колхозности...

1. Мы не используем Git — это (внезапно!) не удобно.
Еще и небезопасно!

Только если руки кривые. Директория .git создается только в корне проекта. Поэтому если файлы для веб-сервера находятся не в корне, а допустим во вложенной папке www — содержимого .git уже не получишь так просто, нужно искать уязвимости уже в веб-сервере.

Мне вот интересно, ну стырили вы исходники сайта и что дальше?

Там пароли!

Ну тогда ладно, хацкеры — молодцы, админам — фуфуфу.

Где-то возле хабра пробегала статистика о количестве репо github, куда случайно попал private ssh key.
Ну а захардкодить пароль — это ещё тривиальнее.

Смотрю я на это и не могу понять: а зачем им там git?

Кто-то, кто кодит сайт, использует git. Это очень удобно вообще, даже если кодишь один. Просто ни кодер, ни девопсы не продумали процесс деплоя. Так тоже бывает.

Подписаться на комментарии