简介
.git源码泄漏是指由于配置错误或安全漏洞,使得Git版本控制系统中的.git目录(存储代码仓库的元数据和版本历史记录)暴露在公共网络或未授权的访问者之下,导致代码仓库的内容被泄漏。
.git目录包含了版本控制系统的全部信息,包括代码的完整历史记录、分支、标签、配置信息等。如果.git目录泄漏,攻击者可以通过访问这些信息,获取敏感的代码和项目细节,可能包括源代码、数据库凭证、API密钥、配置文件等敏感信息。这对于组织和开发者来说是一个严重的安全问题,因为攻击者可以利用这些信息进行恶意活动,如代码盗窃、潜在的黑客攻击、敏感数据泄露等。
挖掘
通过目录扫描,查看是否存在.git
目录,以及是否存在常见的一些文件如.git/config
、.git/index
等。
代码恢复
推荐工具:https://github.com/WangYihang/GitHacker
推荐原因:可以看到历史的commit,其他类似的工具大多数都是只能看到最新的代码。
# 使用
githacker --url https://blog.gm7.org/.git --output-folder testscan
恢复结果如下:
可查看历史提交