Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Представлен инструмент для поиска доступных в Сети .git папок (http://txgate.io:443/showthread.php?t=16052)

Artifact 01-10-2025 05:17 PM

Инструмент также может быть использован злоумышленниками для доступа к конфиденциальным данным и исходному коду проектов.
https://www.securitylab.ru/upload/ib...9e472dd418.jpg
Представлен инструмент для обнаружения случайно загруженных в Сеть /.git папок, содержащих конфиденциальную информацию. Инструмент под названием Gitjacker опубликован на GitHub.
Gitjacker был разработан британским инженером-программистом Лиамом Гэлвином (Liam Galvin), написан на языке программирования Go и выпущен для бесплатной загрузки на GitHub. Инструмент позволяет сканировать домен и определять расположение папки /.git в их производственных системах.
«В каталоге .git хранятся все данные репозитория, такие как конфигурация, история коммитов и фактическое содержимое каждого файла. Если пользователь может получить доступ к содержимому каталога .git для данного web-сайта, он сможет получить доступ к необработанному исходному коду для сайта, а зачастую и к интересным данным конфигурации, таким как пароли к базам данных, соли паролей и многое другое», — отметил Галвин.
Разработчики web-сайтов или web-приложений могут случайно скопировать весь свой репозиторий в Сеть, включая папку /.git, и забыть удалить его. Кроме того, папки /.git также могут быть включены в автоматизированные цепочки сборки и добавлены в контейнеры Docker, которые позже устанавливаются в качестве web-серверов.
Злоумышленники могут сканировать интернет на предмет подобных папок, загрузить их содержимое и получить доступ к конфиденциальным настройкам конфигурации или даже к исходному коду приложения.
По словам Гэлвина, инструмент был разработан для использования в тестах на проникновение, но из-за его возможностей, Gitjacker, скорее всего, также будет использоваться злоумышленниками. Функционал Gitjacker позволяет хакерам извлекать конфиденциальные файлы всего в несколько нажатий на клавиатуре.
Киберпреступные группировки и операторы вредоносов часто используют инструменты с открытым исходным кодом с целью сократить расходы на разработку собственного ПО. Например, наиболее распространенными проектами являются библиотеки внедрения памяти (ReflectiveDllInjection и MemoryModule) и инструменты для удаленного доступа (Empire, Powersploit и Quasar).


All times are GMT. The time now is 05:19 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.