Entendendo e Explorando Git Exposed

Esse assunto acredito que é muito falado por ai e poucos desenvolvedores se preocupa com isso, mas deveriam dar uma atenção maior pois a exposição da pasta .git pode comprometer todo seu projeto, pois la temos muitas informações sensíveis.

Hoje em dia diversas aplicações (sites ou até sistemas web) utilizam o GIT para versionar e/ou publicar códigos de aplicações. Assim, como várias outras tecnologias novas que apareceram de uns tempos para cá, o GIT cumpre bem o seu papel ao ajudar profissionais de engenharia de software, mas também acabou abrindo novas brechas de segurança.

O perigo ocorre quando a aplicação deixa exposto o diretório “.git”, que fica na raiz do sistema.Vamos utilizar como exemplo, a aplicação WEB, que foi desenvolvida para fins de demonstração. Podemos verificar se a falha existe, simplesmente acessando o endereço [http://]sistemavuln[.]com/[.git], que pode ser validado como vulnerável, caso consiga listar os arquivos desse diretório. Vamos então acessar essa URL e procurar pelo diretório objects, para assim pegarmos o arquivo com extensão pack.

Agora, surge a primeira pergunta, por que você deve se preocupar ou aprender sobre pastas git abertas em seu site ou ambiente de trabalho?

1 - Porque é fácil de detectar.

2 - A análise do código-fonte pode revelar outras vulnerabilidades que são mais críticas.

3 - Qualquer pessoa pode usar seu código-fonte para intenções maliciosas, causando danos financeiros e à sua reputação.

4 - Podemos encontrar arquivos contendo informações confidenciais, como credenciais, tokens, novos endpoints, etc.