Empêcher l'accès public à .git

Gestion des versions Git est désormais standard dans presque tous les projets Web et dans tous les environnements (y compris la production). Git crée toujours le sous-dossier .git et s'il se trouve au niveau du dossier public du site Web, vous pouvez accéder publiquement aux fichiers sensibles (par exemple, appeler /.git/logs/HEAD montre les derniers commits) . Il explique en détail comment vous pouvez cloner un référentiel Git tiers (!) Sans liste de répertoires.


Pour éviter cela, dans le cas d'un serveur Apache , l'accès à l'ensemble du dossier .git est restreint dans le fichier .htaccess et une erreur 404 est émise. L'attaquant ne sait pas non plus que le dossier existe:

32b39d7c9836a649597019300a5c2115

Si vous avez un serveur NGINX en cours d'exécution, ces règles le font:

32b39d7c9836a649597019300a5c2115

Retour