Saltar al contenido

La herramienta de código abierto 'Gitjacker' detecta fugas de repositorios .git en sitios web

fossbyte-technology-news

Los desarrolladores web pueden copiar accidentalmente todo su repositorio de Git en línea junto con la carpeta /.git u olvidarse de eliminarlo, exponiendo así información confidencial a los atacantes. Aquí es donde puede ayudar una nueva herramienta de código abierto llamada "Gitjacker".

Un directorio .git almacena todos los datos de su repositorio Git, como la configuración, el historial de confirmaciones y el contenido real de cada archivo en el repositorio. Como regla general, las carpetas /.git nunca deben cargarse en línea.

Si alguien puede acceder a todo el contenido de un directorio .git de un sitio web, puede recuperar el código fuente sin procesar de ese sitio y datos de configuración confidenciales como contraseñas de bases de datos, sales de contraseñas y más.

Por lo tanto, Gitjacker ayuda a los desarrolladores a detectar los repositorios .git con fugas en los sitios web. Fue creado por un ingeniero de software británico Liam Galvin en el lenguaje de programación Go. Puede descargar Gitjacker de forma gratuita desde GitHub.

Para explicar cómo funciona Gitjacker en los términos más simples; permite a los usuarios escanear un dominio y detectar toda la ubicación de una carpeta /.git en sus sistemas de producción.

También puede identificar las carpetas /.git incluidas en cadenas de compilación automatizadas y agregadas a contenedores Docker que luego se instalan como servidores web.

Lea también: Pysa: una herramienta de código abierto para detectar y solucionar problemas de seguridad en el código Python

Gitjacker no se limita solo a las carpetas .git

La herramienta no solo puede encontrar carpetas /.git, sino que también puede recuperar su contenido, como archivos de configuración sensibles, con unos pocos trazos de teclado.

Los piratas informáticos tienden a escanear Internet en busca de tales carpetas en sistemas expuestos accidentalmente. Descargan su contenido para acceder a los datos de configuración o al código fuente de la aplicación.

Banner cuadrado de 340 x 296 de paquete javascript (1)

Los servidores web que tienen listas de directorios habilitadas son bastante vulnerables a este tipo de ataques. Con las listas de directorios deshabilitadas, la recuperación de un repositorio completo se vuelve difícil.

Pero Gitjacker puede manejar la descarga y extracción de un repositorio de git para los usuarios, incluso en los casos en que las listas de directorios web están deshabilitadas.

El desarrollador de Gitjacker dice que hizo la herramienta para usar en pruebas de penetración. Pero debido a sus capacidades, Gitjacker también puede ser abusado por actores malintencionados, ya que sabemos que los piratas informáticos tienen una larga historia de mal uso de herramientas de código abierto para sus fines.