Sensitive Data Exposure - ianchen0119/About-Security GitHub Wiki
Sensitive Data Exposure
案例分析一: git server 忘記關
以 Hitcon Zeroday 上通報的漏洞為例
因為受害單位使用私有的 Git server 做專案的版本控制,卻有沒有在 Git sever 外部做存取權限的管制,導致相關原始碼被看光光,並成功的被登入繞過以及遠端代碼執行。
此外,有些專案在上傳時,保留了 .git/,因此可以直接 clone 下來,或透過 git 指令找出隱藏的檔案
案例分析二: 伺服器安全組態設定錯誤,文件看光光
以 Hitcon Zeroday 上通報的漏洞為例
因為伺服器管理者錯誤設定了伺服器的安全組態,導致有心人士可以在目錄中查找到網站原始碼:
進而從原始碼當中取得資料庫的連線資訊\|/
傳說 twitter 有個 hashtag: #opendir 可以看到很多有趣的東西