A ferramenta de código aberto ‘Gitjacker’ detecta vazamento de repositórios .git em vários sites. Ela é bem útil pois os desenvolvedores da Web podem acidentalmente copiar todo o seu repositório Git on-line junto com a pasta /.git ou esquecer de removê-lo, expondo assim informações confidenciais aos invasores. É exatamente aí que a nova ferramenta de código aberto chamada ‘Gitjacker’ pode ajudar.
Um diretório .git armazena todos os dados do seu repositório Git, como configuração, histórico de commits e o conteúdo real de cada arquivo no repositório. Como regra geral, as pastas /.git nunca devem ser carregadas on-line.
Se alguém puder acessar todo o conteúdo de um diretório .git de um site, poderá recuperar o código-fonte bruto desse site e dados de configuração confidenciais, como senhas de banco de dados, sais de senha e muito mais.
Ferramenta ‘Gitjacker’ detecta vazamento de repositórios .git
Portanto, o Gitjacker ajuda os desenvolvedores a detectar o vazamento de repositórios .git em sites. Ele foi criado pelo engenheiro de software britânico Liam Galvin na linguagem de programação Go. Você pode baixar o Gitjacker gratuitamente no GitHub.
Para explicar como o Gitjacker funciona nos termos mais simples; ele permite que os usuários digitalizem um domínio e detectem todas as localizações de uma pasta /.git em seus sistemas de produção.
Ele também pode identificar as pastas /.git incluídas nas cadeias de construção automatizadas e adicionadas aos contêineres do Docker que são posteriormente instalados como servidores da web.
Gitjacker não se limita apenas a pastas .git
A ferramenta pode não apenas localizar pastas /.git, mas também buscar seu conteúdo, como arquivos de configuração confidenciais, com apenas alguns toques no teclado.
Os hackers tendem a varrer a Internet em busca dessas pastas em sistemas expostos acidentalmente. Eles baixam seu conteúdo para obter acesso aos dados de configuração ou código-fonte do aplicativo.
Os servidores da Web que têm listagens de diretório ativadas são bastante vulneráveis a esse tipo de ataque. Com as listagens de diretório desativadas, recuperar um repositório completo se torna difícil.
No entanto, o Gitjacker pode lidar com o download e a extração de um repositório git para os usuários, mesmo nos casos em que as listagens de diretórios da web estão desabilitadas.
O desenvolvedor do Gitjacker conta que fez a ferramenta para ser usada em testes de penetração. Entretanto, devido às suas habilidades, o Gitjacker também pode ser usado por agentes mal-intencionados.