Header Ads Widget

Ticker

6/recent/ticker-posts

Open-Source Tool ‘Gitjacker’ Detects Leaking .git Repositories On Websites

gitjacker

Los desarrolladores web pueden copiar accidentalmente todo su repositorio de Git en línea junto con la carpeta /.git u olvidarse de eliminarlo, exponiendo así información confidencial a los atacantes. Aquí es donde una nueva herramienta de código abierto llamada 'Gitjacker' puede ayudar.

Un directorio .git almacena todos los datos de su repositorio Git, como la configuración, el historial de confirmaciones y el contenido real de cada archivo en el repositorio. Como regla general, las carpetas /.git nunca deben cargarse en línea.

Si alguien puede acceder a todo el contenido de un directorio .git de un sitio web, puede recuperar el código fuente sin procesar para ese sitio y datos de configuración sensibles como contraseñas de bases de datos, sales de contraseñas y más.

Por lo tanto, Gitjacker ayuda a los desarrolladores a detectar los repositorios .git con fugas en los sitios web. Fue creado por un ingeniero de software británico Liam Galvin en el lenguaje de programación Go . Puede descargar Gitjacker de forma gratuita desde GitHub .

Para explicar cómo funciona Gitjacker en los términos más simples; permite a los usuarios escanear un dominio y detectar toda la ubicación de una carpeta /.git en sus sistemas de producción.

También puede identificar las carpetas /.git incluidas en cadenas de compilación automatizadas y agregadas a contenedores Docker que luego se instalan como servidores web.

Gitjacker no se limita solo a las carpetas .git

La herramienta no solo puede encontrar carpetas /.git, sino que también puede recuperar su contenido, como archivos de configuración sensibles, con unos pocos trazos de teclado.

Los piratas informáticos tienden a escanear Internet en busca de dichas carpetas en sistemas expuestos accidentalmente. Descargan su contenido para acceder a los datos de configuración o al código fuente de la aplicación.

Los servidores web que tienen listas de directorios habilitadas son bastante vulnerables a este tipo de ataques. Con las listas de directorios deshabilitadas, la recuperación de un repositorio completo se vuelve difícil.

Pero Gitjacker puede manejar la descarga y extracción de un repositorio de git para los usuarios, incluso en los casos en que las listas de directorios web están deshabilitadas.

El desarrollador de Gitjacker dice que hizo la herramienta para usar en pruebas de penetración. Pero debido a sus capacidades, Gitjacker también puede ser abusado por actores malintencionados, ya que sabemos que los piratas informáticos tienen una larga historia de mal uso de herramientas de código abierto para sus fines.

Publicar un comentario

0 Comentarios