git 源码泄露

1、漏洞成因

Git是一个开源的分布式版本控制系统，在执行git init初始化目录的时候，会在当前目录下自动创建一个.git目录，用来记录代码的变更记录等。发布代码的时候，如果没有把.git这个目录删除，就直接发布到了服务器上，攻击者就可以通过它来恢复源代码。

2、漏洞实例

3、利用工具

GitHack是一个.git泄露利用脚本，通过泄露的.git文件夹下的文件，重建还原工程源代码。

渗透测试人员、攻击者，可以进一步审计代码，挖掘：文件上传，SQL注射等web安全漏洞。

https://github.com/lijiejie/GitHack

使用工具下载源码：

4、漏洞修复

• 1、删除.git目录

• 2、修改中间件配置进行对.git隐藏文件夹的访问。 如：Nginx服务器，在server{}段内增加如下代码即可

location ~ /\.
{
	deny all;
}
1234

这样就把所有的隐藏文件夹给屏蔽访问了 如果想单独屏蔽某一隐藏文件夹的访问只需要

location ^~ /.git
{
	return 444;
}