.gitディレクトリの脆弱性

.gitディレクトリ:Gitのデータを格納して管理するディレクトリです。このディレクトリをコピーするだけで、ストアがバックアップされます。 世界中に2億3千万以上のWebドメインを検索した結果39万のWebページで.git公開ディレクトリが見つかりました。これは機密情報が漏洩することができる心配な状況です。 多くのWeb開発者は、オープンソースの開発ツールGitを使用してページを作成します。 プロジェクトの標準的な情報ストア.gitディレクトリを公にアクセス可能なサイトに置かんが、多くの場合、このようなことが発生します。また、彼らはしばしば不注意に重要な情報がそこに許可します。 これは深刻な問題です。なぜなら、Webサイトの構造に関する多くの情報がある現在および過去のファイルを取得することができ、DBパスワード、API keys、開発IDE設定など非常に機密データを得ることができるからです。 Gitリポジトリはよく知られている構造を持っているので、簡単にそれぞれのファイルをダウンロードして、ストレージの各objects / packsへの参照を分析することができます。 脆弱かどうか確認 web-site / .git / 正しく設定すると、動作しないようにします。 対応策 Gitを使用したり、ライブサーバーでGitを使用している場合、.gitディレクトリが索引付けされず、ディレクトリ、サブディレクトリ、およびすべてのファイルがサーバーの権限ルールを使用してアクセスすることができないことを確認してください。 また、Gitに追加されたファイルに機密データを含めないでください。全世界で見られるようにGithubやBitbucketのような場所で情報をプッシュすると悪夢が起こることがあります。 また、.gitignoreファイルを使用して機密ファイルを適切に無視して、誤って追加しないようにする必要があります。 * gitignore:ProjectにしたくないBackup FileやLog File、あるいはコンパイルされたファイルをGitから除外させることができる設定File 参照 https://threatpost.com/open-git-directories-leave-390k-websites-vulnerable/137299/ https://blog.netspi.com/dumping-git-data-from-misconfigured-web-servers/ https://git-scm.com/book/ko/v2/Git%EC%9D%98-%EB%82%B4%EB%B6%80-Plumbing-%EB%AA%85%EB%A0%B9%EA%B3%BC-Porcelain-%EB%AA%85%EB%A0%B9