21/10/20
Представлен инструмент для обнаружения случайно загруженных в Сеть /.git папок, содержащих конфиденциальную информацию. Инструмент под названием Gitjacker опубликован на GitHub.Gitjacker был разработан британским инженером-программистом Лиамом Гэлвином (Liam Galvin), написан на языке программирования Go и выпущен для бесплатной загрузки на GitHub. Инструмент позволяет сканировать домен и определять расположение папки /.git в их производственных системах.
«В каталоге .git хранятся все данные репозитория, такие как конфигурация, история коммитов и фактическое содержимое каждого файла. Если пользователь может получить доступ к содержимому каталога .git для данного web-сайта, он сможет получить доступ к необработанному исходному коду для сайта, а зачастую и к интересным данным конфигурации, таким как пароли к базам данных, соли паролей и многое другое», — отметил Галвин.
Разработчики web-сайтов или web-приложений могут случайно скопировать весь свой репозиторий в Сеть, включая папку /.git, и забыть удалить его. Кроме того, папки /.git также могут быть включены в автоматизированные цепочки сборки и добавлены в контейнеры Docker, которые позже устанавливаются в качестве web-серверов.
Злоумышленники могут сканировать интернет на предмет подобных папок, загрузить их содержимое и получить доступ к конфиденциальным настройкам конфигурации или даже к исходному коду приложения.
По словам Гэлвина, инструмент был разработан для использования в тестах на проникновение, но из-за его возможностей, Gitjacker, скорее всего, также будет использоваться злоумышленниками. Функционал Gitjacker позволяет хакерам извлекать конфиденциальные файлы всего в несколько нажатий на клавиатуре.
Киберпреступные группировки и операторы вредоносов часто используют инструменты с открытым исходным кодом с целью сократить расходы на разработку собственного ПО. Например, наиболее распространенными проектами являются библиотеки внедрения памяти (ReflectiveDllInjection и MemoryModule) и инструменты для удаленного доступа (Empire, Powersploit и Quasar).
