Британский ИБ-исследователь Лиам Гэлвин (Liam Galvin) создал инструмент Gitjacker, который не только поможет найти в интернете случайно оставленные открытыми и общедоступными папки .git, но также позволит скачать чужой репозиторий, со всеми конфиденциальными файлами и исходным кодом. Gitjacker был написан на Go и уже свободно доступен на GitHub.
По сути, в самом простом применении, инструмент позволяет пользователям сканировать домен и определять местоположение папки /.git. При этом исследователь подчеркивает, что папки /.git ни в коем случае не должны быть доступны из интернета.
«В каталоге .git хранятся все данные вашего [Git] репозитория, такие как конфигурация, история коммитов и фактическое содержимое каждого файла.
Если вы можете получить полное содержимое папки .git для конкретного сайта, вы сможете получить доступ к “сырому” исходному коду для этого сайта, а зачастую и к другим интересным данным конфигурации, таким как пароли БД, соли паролей и многое другое», — писал Гэлвин в своем блоге.
Разработчик сетует, что это понимают далеко не все. Нередко люди случайно копируют весь свой репозиторий в интернет, включая папку /.git, и забывают удалить. Кроме того, папки /.git порой оказываются включены в автоматизированные цепочки сборки или добавлены в контейнеры Docker.
Таким образом, хакеры могут сканировать интернет в поисках таких папок, загружать их содержимое и получать доступ к конфиденциальным данным и даже к исходному коду.
«Веб-серверы с включенными списками каталогов делают такие атаки особенно простыми, поскольку это лишь вопрос рекурсивной загрузки каждого файла в директории .git и выполнения git checkout --. Атака возможна и в том случае, если списки каталогов отключены, но тогда часто бывает сложно получить полный репозиторий», — рассказывает автор Gitjacker.
Гэлвин объясняет, что разработал Gitjacker как раз для загрузки и извлечения репозиториев даже в тех случаях, когда списки каталогов отключены. При этом исследователь создавал инструмент для использования в пентестах, но, скорее всего, возможности Gitjacker вскоре оценят и злоумышленники, которые часто применяют для атак опенсорсные решения.
К сожалению, папки /.git по-прежнему часто можно найти в открытом доступе. К примеру, в 2018 году чешский эксперт просканировал более 230 000 000 сайтов и обнаружил, что 390 000 из них содержат открытые папки /.git , и в итоге эта проблема была устранена лишь в 150 000 случаев.
