از دسترسی عمومی به .git جلوگیری کنید

مدیریت نسخه Git اکنون تقریباً در هر پروژه وب و در هر محیط (از جمله تولید) استاندارد است. Git همیشه زیر پوشه .git را ایجاد می کند و اگر این مورد در سطح پوشه عمومی وب سایت باشد ، می توانید به صورت عمومی به پرونده های حساس دسترسی پیدا کنید (به عنوان مثال ، تماس با /.git/logs/HEAD آخرین تعهدات را نشان می دهد ) . این به طور مفصل توضیح می دهد که چگونه می توانید مخزن Git شخص ثالث (!) را بدون لیست دایرکتوری کلون کنید.


برای جلوگیری از این امر ، در مورد سرور Apache ، دسترسی به کل پوشه .git در پرونده .htaccess محدود شده و خطای 404 صادر می شود. مهاجم حتی نمی داند که این پوشه وجود دارد:

32b39d7c9836a649597019300a5c2115

اگر یک سرور NGINX در حال اجرا دارید ، این قوانین این کار را انجام می دهند:

32b39d7c9836a649597019300a5c2115

بازگشت