互联网大漏洞:每600个网站就有1个暴露了.git文件夹

对于Web开发人员来说，向外界暴露你的.git文件夹绝对是一个菜鸟级错误。因为这样会允许任何人下载你的整个源代码存储库，包括数据库密码、加密盐、Hash和第三方接口密钥API，还有你的用户名和密码。

多年来，作为个人项目，我建立了150万的网站数据库，大多是权威网站（比如BBC、《卫报》，或者涉及政府、教育及军事领域的网站）。

在这150万网站中，2402个的.git文件夹被暴露且可下载，0.16%颇受欢迎的网站正暴露在危险之中。

虽然一些.git存储库无害，但任取一个网站的随机样本，就会发现其中往往包含着危险的信息。在我收集的数据中，有数百个列出了数据库密码，包括服务API密钥，如AWS或谷歌云,还有些包括网站Web服务器的FTP细节。有的还包含.SQL文件中数据库备份，以及那些本该隐藏的文件夹。

此前，一个著名的人权组织暴露了每位签署了同性恋权利运动的人 (包括他们的住地址和电子邮件)，这些信息存储在.git存储库的CSV文件中，可以公开从网站下载。

开发者,请务必确保.git文件夹在
http://www.yourdomain.com/.git/不可见。若非如此，请立即锁定——请删除文件夹并找个更好的方法部署代码，或至少确保禁止.htaccess访问文件夹。

假设已经有人下载了你的信息，想清楚他们可能会看到什么。此外你需要知道，哪些密码、盐、Hash或API密钥需要改变？他们可能已经访问了哪些数据？他们可能已经做了哪些可能改变或损害你的事情?