Обратной стороной этого упрощения является то, что рабочие копии таких проектов содержат служебные каталоги .svn с рядом подкаталогов, из которых особый интерес представляет подкаталог text-base, хранящий последние версии всех файлов, полученных из репозитория. Причем файлы эти имеют расширение svn-base и прекрасно отдаются веб-сервером без дополнительной обработки (т.е. любой человек может спокойно посмотреть ваш код на php/asp/perl/..., подсмотреть в нем пароли доступа к базам и внешним сервисам и т.п.). Кроме того, из лежащего по соседству файла entries можно получить массу другой любопытной информации - расположение репозитория, логины пользователей и т.п.

В принципе, и это не фатально - соответствующие каталоги элементарно закрываются от публичного доступа простой настройкой веб-сервера, но, как выяснилось, по крайней мере 3320 популярных сайтов рунета, включая крупнейшие, не озаботились этой элементарной защитой.

Источник: Хабрахабр

теги: leak  |  предложить новость  |  обсудить  |  все отзывы (3)

[8503]

назад «  » вперед

аналогичные материалы Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59 Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26 Dropbox посеял 130 репозиториев // 02.11.22 02:34 Крупнейшая утечка из облачного хранилища Microsoft // 20.10.22 22:59 Крупный взлом GoDaddy // 23.11.21 20:52 Have I Been Pwned начнёт получать скомпрометированные пароли от ФБР // 29.05.21 16:46 Крупного кибербезопасника FireEye обокрали «крайне изощренные хакеры» // 09.12.20 04:52

последние новостиBugTraq.Ru: последние новости Microsoft обещает радикально усилить безопасность Windows в следующем году // 19.11.24 17:09 Ядро Linux избавляется от российских мейнтейнеров // 23.10.24 23:10 20 лет Ubuntu // 20.10.24 19:11 Tailscale окончательно забанила российские адреса // 02.10.24 18:54 Прекращение работы антивируса Касперского в США // 30.09.24 17:30 Microsoft Authenticator теряет пользовательские аккаунты // 05.08.24 22:21 Облачнолазурное // 31.07.24 17:34

Комментарии: Никак не могу понять, как на всяких крупных проектах не... 26.09.09 00:14   Автор: ZloyShaman <ZloyShaman> Статус: Elderman <"чистая" ссылка> Никак не могу понять, как на всяких крупных проектах не обрабатывается полностью URL каким-нибудь рерайтом или вроде того. А зачем? Достаточно .htaccess правильный положить. 28.09.09 09:20   Автор: Winer <Виктор С.> Статус: Member <"чистая" ссылка> А зачем? Достаточно экспортировать проект, а не чек-аутить 28.09.09 13:30   Автор: kstati <Евгений Борисов> Статус: Elderman <"чистая" ссылка>

<добавить комментарий>