揭露HitBTC网站因.git配置不当导致敏感信息泄露的安全事件。通过访问公开的.git配置,攻击者能够获取包括数据库文件在内的多项关键信息,内含用户数据及管理员详情。建议立即移除暴露的SQL与.git文件,加强网站安全。
漏洞描述
https://forum.hitbtc.com/.git/config
该网站存在漏洞,虽然不能下载源代码,但是却可以清楚的知道该网站的所以文件路径。并且可以进行相应的查看。
通过上面的漏洞,下载.git文件夹下的index文件,可以看到文件列表并进行下载。这里我们发现了一个数据库的文件,可以进行下载,下载的sql文件种包含用户名和密码,表结构等信息。用户信息有200多条。
以下还可以看到管理员的信息,网站配置等内容。
修复建议
1、删除其sql文件。
2、删除.git文件夹
3、在更新网站时不要将.git文件夹上传
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
