Исследователь обнаружил лежащие в открытом виде git-репозитории на 390 тысячах сайтов
Новости
Информация в каталогах включала настройки, ключи доступа к БД, облачным хранилищам и API, а также данные об обработчиках сайтов в открытом виде.
2К открытий2К показов
Исследователь кибербезопасности Владимир Смитка рассказал в своем блоге о каталогах .git
, лежащих в открытом доступе на различных чешских сайтах, которых оказалось в общей сложности 390 тысяч. По его словам, причина раскрытия содержимого репозиториев — халатность разработчиков, которые не пользуются лучшими практиками по организации данных.
Подробнее о находке
В ходе сканирования доменов ИБ-специалист на протяжении 4 недель анализировал около 320 млн сайтов, из которых 390 тысяч оказались уязвимыми к краже информации в каталогах .git
. Репозитории содержали настройки, исходные тексты всех серверных обработчиков, ключи доступа к БД, облачным хранилищам и API, которые могли использоваться злоумышленниками для несанкционированного доступа к сайтам.
Поскольку структура git-каталогов известна, то просканировать все находящиеся в них файлы можно путем перебора всех папок, не имея списка содержимого. В некоторых случаях обращение к .git
выдавало ошибку HTTP 403, которая была вызвана отсутствием файлов index.html
или index.php
, однако при прямом доступе к документам проблем не возникало.
По окончании исследования Владимир Смитка отправил всем владельцам сайтов письма по адресам, найденным в файле /.git/logs/HEAD
. Всего он получил 290 000 адресов электронной почты, 90 000 из которых были уникальными, а 18 000 оказались уже не действующими. После рассылки специалист получил 2000 писем с благодарностями, 30 сообщений о ложных результатах исследования, 2 обвинения в мошенничестве и одну угрозу жалобы в полицию.
Статистика уязвимых сайтов
Кроме того, исследователь решил проанализировать содержимое git-репозиториев и обнаружил, что среди ЯП лидирующим является PHP — на нем написано 96 % сайтов (186 205 из выборки в 194 000). По 1 % приходится на Node.js (2394), Java (1742), Ruby (1199) и Python (1499), в то время как код на Perl был найден всего в 504 случаях.
Среди ОС, на которых располагаются сайты, результаты такие:
- 42 604 — Ubuntu.
- 12 906 — Debian.
- 9350 — CentOS.
- 3204 — Windows Server.
- 378 — Red Hat.
Первое место среди систем управления контентом занял WordPress с 41139 сайтами, оставив далеко позади Drupal (2256) и Joomla (1615).
Напомним, что в мае 2018 года в Git исправили две уязвимости, позволяющие удаленный запуск кода. Они эксплуатировали бреши в файловых хранилищах и для работы требовали загрузки на устройство зараженного репозитория.
2К открытий2К показов