Entendendo e Explorando Git Exposed – Joabe Kachorroski

Esse assunto acredito que e muito falado por ai e poucos desenvolvedores se preocupa com isso, mas deveriam dar uma atencao maior pois a exposicao da pasta .git pode comprometer todo seu projeto, pois la temos muitas informacoes sensiveis. Hoje em dia diversas aplicacoes (sites ou ate sistemas web) utilizam o GIT para versionar e/ou publicar codigos de aplicacoes. Assim, como varias outras tecnologias novas que apareceram de uns tempos para ca, o GIT cumpre bem o seu papel ao ajudar profissionais de engenharia de software, mas tambem acabou abrindo novas brechas de seguranca. O perigo ocorre quando a aplicacao deixa exposto o diretorio “.git”, que fica na raiz do sistema.Vamos utilizar como exemplo, a aplicacao WEB, que foi desenvolvida para fins de demonstracao. Podemos verificar se a falha existe, simplesmente acessando o endereco [http://]sistemavuln[.]com/[.git], que pode ser validado como vulneravel, caso consiga listar os arquivos desse diretorio. Vamos entao acessar essa URL e procurar pelo diretorio objects, para assim pegarmos o arquivo com extensao pack. Agora, surge a primeira pergunta, por que voce deve se preocupar ou aprender sobre pastas git abertas em seu site ou ambiente de trabalho? 1 – Porque e facil de detectar. 2 – A analise do codigo-fonte pode revelar outras vulnerabilidades que sao mais criticas. 3 – Qualquer pessoa pode usar seu codigo-fonte para intencoes maliciosas, causando danos financeiros e a sua reputacao. 4 – Podemos encontrar arquivos contendo informacoes confidenciais, como credenciais, tokens, novos endpoints, etc.