Versiebeheer Git is nu standaard in bijna elk webproject en in elke omgeving (inclusief productie). Git maakt altijd de submap .git aan en als deze zich op het niveau van de openbare map van de website bevindt, kun je publiekelijk toegang krijgen tot gevoelige bestanden (bijvoorbeeld: /.git/logs/HEAD aanroepen toont de laatste commits) . Het legt in detail uit hoe je een Git-repository van een derde partij (!) Kunt klonen zonder een directorylijst.
Om dit te voorkomen, wordt in het geval van een Apache- server de toegang tot de volledige .git-map beperkt in het .htaccess-bestand en wordt er een 404-fout gegenereerd. De aanvaller weet niet eens dat de map bestaat:
32b39d7c9836a649597019300a5c2115
Als u een NGINX- server draait, doen deze regels het:
32b39d7c9836a649597019300a5c2115