Nul
Tsjechische security-onderzoeker Vladimír Smitka is waarschuwing voor website-exploitanten om een kijkje te nemen hoe ze het configureren van hun site, in het bijzonder als ze gebruik maken van een git te implementeren en te beheren.
Smitka recent gescand 230 miljoen “interessant” sites over de hele wereld meer dan een maand en gevonden 390,000 webpagina ‘ s met een open .git map.
Smitka zei deze situatie vertegenwoordigd “een vervelend probleem”, omdat onbevoegde buitenstaanders toegang tot de huidige en in het verleden bestanden met informatie over de structuur van de website, of zeer gevoelige gegevens, zoals database wachtwoorden, API sleutels, en nog veel meer.
Een aanvaller zou kunnen gebruiken deze toegang te langzaam reconstrueren van een site git repository of verdiepen in wat bibliotheken worden gebruikt, en vanaf daar ontdek potentiële kwetsbaarheden.
Hij schopte het globale scan na het doen van een smaller scan van de tsjechische en slowaakse sites, maar die bleek tot meer dan 2.000 sites met blootgesteld .git mappen in een voor het publiek toegankelijke deel van de site.
Op een aantal van de blootgestelde locaties vond hij database wachtwoorden en niet-geverifieerde uploaders.
Maar de motivatie voor de wereldwijde scan was dat hij vond dat het relatief gemakkelijk te vinden contactgegevens voor eigenaars van de desbetreffende tsjechische en slowaakse sites om het probleem te verhelpen.
Normaal <web-site>/.git/HOOFD moet niet toegankelijk voor het publiek, maar op de kwetsbare gebieden is, en die de map bevat een lijst met commits en informatie over medewerkers, met inbegrip van hun e-mailadressen.
Plus, zijn waarschuwingen werden vrij snel naar gehandeld. Een maand na het verzenden van 2.000 meldingen, hij opnieuw gescand, de sites en gevonden .git mappen zijn alleen toegankelijk op 874 sites, de betekenis van een 55 procent kans op succes.
Na het voltooien van de globale scan zond hij nog een batch van 90.000 e-mails naar de betreffende site admins, die gericht zijn landing page, waar hij beschreef het probleem en de stappen voor mitigatie.
“Net voor de verduidelijking, ik heb niet hacken van uw site,” Smitka benadrukt op zijn site.
“Ik ben een security-onderzoeker/witte hoed/ethical hacker en ik heb alleen ontdekt een security probleem op uw website,” hij zei.
“Geen gevoelige gegevens zijn gedownload van uw site, behalve voor uw e-mail adres, die zal worden vergeten na het onderzoek. Ik zal het niet opslaan of gebruiken voor andere doeleinden.”
Voor het grootste deel van zijn e-mail alerts zijn zeer goed ontvangen, wat leidt tot 300 extra berichten van de betrokken partijen, en de 2.000 dank-u-e-mails.
Echter, hij kreeg ook een bedreiging voor de oproep van de Canadese politie en twee beschuldigingen dat hij een spammer.
Vladimír Smitka gevonden 390,000 webpagina ‘ s met een open .git map.
Afbeelding: Lynt Diensten
Vorige en aanverwante dekking
Web security krijgt een boost als TLS krijgt een grote onderhoudsbeurt
Verwachten breed en snelle goedkeuring van de nieuwe web-encryptie-protocol na ingenieurs af te ronden Transport Layer Security (TLS) versie 1.3.
Waarom is Google-selling potentieel gevaar Chinese veiligheid toetsen?
Advies: Wilt u zich aanmelden voor Google ‘ s Geavanceerde bescherming van het programma, moet u kopen beveiligingssleutels van een Chinese leverancier. Beveiliging vragen zijn inmiddels opgeheven, gezien de huidige intelligence wetten in China.
Facebook hobbels op links naar een HTTPS-boost-online beveiliging
Het platform link security infrastructuur omvat nu HST ‘ s geladen.
Het beheren van cloud security bij leveranciers en klanten de verantwoordelijkheid te delen TechRepublic
Wie is verantwoordelijk voor de cloud security: De dienstverlener of de klant? Veel mensen zien het als een gedeelde verantwoordelijkheid van de relatie. Hier worden best practices voor het beheer van die relatie.
Chrome lang beloofde HTTP ‘niet veilig’ website waarschuwingen komen CNET
Let op als u de waarschuwing, maar geen paniek.
Verwante Onderwerpen:
CXO
Beveiliging TV
Data Management
Datacenters
0