Manajemen versi Git sekarang menjadi standar di hampir setiap proyek web dan di setiap lingkungan (termasuk produksi). Git selalu membuat subfolder .git dan jika subfolder ini berada di level folder publik situs web, Anda dapat mengakses file sensitif secara publik (misalnya, memanggil /.git/logs/HEAD menunjukkan komit terakhir) . Ini menjelaskan secara rinci bagaimana Anda dapat mengkloning repositori Git pihak ketiga (!) Tanpa daftar direktori.
Untuk mencegah hal ini, dalam kasus server Apache , akses ke seluruh folder .git dibatasi dalam file .htaccess dan kesalahan 404 akan muncul. Penyerang juga tidak tahu bahwa folder itu ada:
32b39d7c9836a649597019300a5c2115
Jika Anda memiliki server NGINX yang sedang berjalan, aturan ini melakukannya:
32b39d7c9836a649597019300a5c2115