Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把.git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码。
git init
.git
GitHack是一个.git泄露利用脚本,通过泄露的.git文件夹下的文件,重建还原工程源代码。
渗透测试人员、攻击者,可以进一步审计代码,挖掘:文件上传,SQL注射等web安全漏洞。
使用工具下载源码:
1、删除.git目录
2、修改中间件配置进行对.git隐藏文件夹的访问。 如:Nginx服务器,在server{}段内增加如下代码即可
server{}
这样就把所有的隐藏文件夹给屏蔽访问了 如果想单独屏蔽某一隐藏文件夹的访问只需要
Last updated 5 years ago
https://github.com/lijiejie/GitHack
location ~ /\. { deny all; } 1234
location ^~ /.git { return 444; }
