Gestión de versiones Git ahora es estándar en casi todos los proyectos web y en todos los entornos (incluida la producción). Git siempre crea la subcarpeta .git y si está en el nivel de la carpeta pública del sitio web, puede acceder públicamente a archivos confidenciales (por ejemplo, llamar a /.git/logs/HEAD muestra las últimas confirmaciones) . Se explica con detalle cómo se puede clonar a un tercero (!) Repositorio Git sin un listado de directorios.
Para evitar esto, en el caso de un servidor Apache , el acceso a toda la carpeta .git está restringido en el archivo .htaccess y se emite un error 404. El atacante ni siquiera sabe que la carpeta existe:
32b39d7c9836a649597019300a5c2115
Si tiene un servidor NGINX en ejecución, estas reglas lo hacen:
32b39d7c9836a649597019300a5c2115