Gestione delle versioni Git è ora standard in quasi tutti i progetti web e in ogni ambiente (inclusa la produzione). Git crea sempre la sottocartella .git e se questa è a livello della cartella pubblica del sito web, puoi accedere pubblicamente ai file sensibili (ad esempio, chiamando /.git/logs/HEAD vengono mostrati gli ultimi commit) . Si spiega in dettaglio come è possibile clonare una terza parte (!) Repository Git senza elencare una directory.
Per evitare ciò, nel caso di un server Apache , l'accesso all'intera cartella .git è limitato nel file .htaccess e viene emesso un errore 404. L'aggressore non sa nemmeno che la cartella esiste:
32b39d7c9836a649597019300a5c2115
Se hai un server NGINX in esecuzione, queste regole lo fanno:
32b39d7c9836a649597019300a5c2115