in

Ferramenta ‘Gitjacker’ detecta vazamento de repositórios .git

Hackers podem se aproveitar do problema.

Ferramenta 'Gitjacker' detecta vazamento de repositórios .git

A ferramenta de código aberto ‘Gitjacker’ detecta vazamento de repositórios .git em vários sites. Ela é bem útil pois os desenvolvedores da Web podem acidentalmente copiar todo o seu repositório Git on-line junto com a pasta /.git ou esquecer de removê-lo, expondo assim informações confidenciais aos invasores. É exatamente aí que a nova ferramenta de código aberto chamada ‘Gitjacker’ pode ajudar.

- Anúncios -

Um diretório .git armazena todos os dados do seu repositório Git, como configuração, histórico de commits e o conteúdo real de cada arquivo no repositório. Como regra geral, as pastas /.git nunca devem ser carregadas on-line.

Se alguém puder acessar todo o conteúdo de um diretório .git de um site, poderá recuperar o código-fonte bruto desse site e dados de configuração confidenciais, como senhas de banco de dados, sais de senha e muito mais.

Ferramenta ‘Gitjacker’ detecta vazamento de repositórios .git

Ferramenta 'Gitjacker' detecta vazamento de repositórios .git

Portanto, o Gitjacker ajuda os desenvolvedores a detectar o vazamento de repositórios .git em sites. Ele foi criado pelo engenheiro de software britânico Liam Galvin na linguagem de programação Go. Você pode baixar o Gitjacker gratuitamente no GitHub.

Para explicar como o Gitjacker funciona nos termos mais simples; ele permite que os usuários digitalizem um domínio e detectem todas as localizações de uma pasta /.git em seus sistemas de produção.

Ele também pode identificar as pastas /.git incluídas nas cadeias de construção automatizadas e adicionadas aos contêineres do Docker que são posteriormente instalados como servidores da web.

Gitjacker não se limita apenas a pastas .git

A ferramenta pode não apenas localizar pastas /.git, mas também buscar seu conteúdo, como arquivos de configuração confidenciais, com apenas alguns toques no teclado.

Os hackers tendem a varrer a Internet em busca dessas pastas em sistemas expostos acidentalmente. Eles baixam seu conteúdo para obter acesso aos dados de configuração ou código-fonte do aplicativo.

Os servidores da Web que têm listagens de diretório ativadas são bastante vulneráveis a esse tipo de ataque. Com as listagens de diretório desativadas, recuperar um repositório completo se torna difícil.

No entanto, o Gitjacker pode lidar com o download e a extração de um repositório git para os usuários, mesmo nos casos em que as listagens de diretórios da web estão desabilitadas.

O desenvolvedor do Gitjacker conta que fez a ferramenta para ser usada em testes de penetração. Entretanto, devido às suas habilidades, o Gitjacker também pode ser usado por agentes mal-intencionados.

Em breve, WhatsApp trará recursos de bloqueio biométrico

Em breve, WhatsApp trará recursos de bloqueio biométrico

Aplicativo de pesquisa Microsoft Forms agora disponível para uso pessoal

Aplicativo de pesquisa Microsoft Forms agora disponível para uso pessoal