2. 程式人生 > >安全防範:nginx下git引發的隱私洩露問題

安全防範:nginx下git引發的隱私洩露問題

阿新 發佈:2019-01-18

3   可能危害

因為要使用持續整合系統,所以對於前端靜態檔案的釋出也必須要使用自動化,使用自動化就必須避免互動式的密碼輸入。而git中避免使用互動式密碼輸入,主要有如下幾種方法:

  1. .netrc 儲存明文賬號和密碼
  2. 在 url 中帶明文賬號和密碼
  3. 使用 ssh-key 進行鑑權

當然,由於筆者使用的 ssh-key,所以並沒有千萬過多的隱私洩露,將危害控制到了最小(基本只洩露了這個倉庫的名稱資訊,並沒有危害)。

檢視使用的 ssh-key 鑑權方式下的 .git/config 的內容:

[core]
        repositoryformatversion = 0
 

        filemode = true
        bare = false
        logallrefupdates = true
[remote "origin"]
        url = [email protected]:myteam/web-app-front.git
        fetch = +refs/heads/*:refs/remotes/origin/*
        [branch "master"]
        remote = origin
        merge = refs/heads/master

但是,筆者不禁想起,以比較早期的時候,為了避免反覆輸入密碼,曾經使用過在 url

 中帶明文賬號和密碼的方式來 clone 一個 git 倉庫:

git clone https://username:[email protected]/myteam/web-app-front.git

即,把賬號和密碼放在url裡面可以免去反覆互動式輸入賬號密碼的繁瑣操作。這樣的話 .git/config 就會包括如下內容了:

[remote "origin"]
        url = https://username:[email protected]/myteam/web-app-front.git

顯然,如上的疏忽就會導致如下內容被洩露:

  • 賬號名:username
  • 密碼:password
  • 服務網站:github.com
  • 專案組代號:myteam
  • 專案倉庫名稱:web-app-front

然後黑客就可以輕鬆開啟服務網站,使用指定的賬號和密碼登入。然後瀏覽開發人員所在組的所有程式碼,然後程式碼裡面可能包含如下的內容:

  • 資料庫賬號密碼
  • 伺服器IP
  • 伺服器賬號密碼
  • 其它隱私資訊

將會完全被洩露出去,可以說,這樣一個小疏忽會導致全線崩盤,這並不是聳人聽聞。

相關推薦

安全防範nginxgit引發隱私洩露問題

3   可能危害 因為要使用持續整合系統,所以對於前端靜態檔案的釋出也必須要使用自動化,使用自動化就必須避免互動式的密碼輸入。而git中避免使用互動式密碼輸入,主要有如下幾種方法: .netrc 儲存明文賬號和密碼 在 url 中帶明文賬號和密碼 使用 ssh-key 進行鑑權 當然,由

PythonWin7Git Bash中呼叫python指令碼

Git Bash中呼叫python指令碼需要使用:winpty python hello.py。每次呼叫的時候都這麼寫,太麻煩了。使用alias python='winpty python' 將'winpty python'重新命名為'python',這樣每次呼叫的時候直接輸

深入學習WindowsGit新手教程(上)

linux 正在 五步 -m 一起 撤銷 pub 使用命令 clas 版權聲明:本文為博主原創文章,未經博主同意不得轉載。 https://blog.csdn.net/huangyabin

Nginx 部署 HTTPS 與安全調優

quest tro efault attribute you attr inf [] validate 什麽是 HTTPS?# HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的

WindowsGit使用報錯warningLF will be replaced by CRLF in ××××.××

ack 技術 urn span .com arr 初始化 pre rect Windows下Git使用報錯: warning:LF will be replaced by CRLF in ××××.××(文件名) The file will have its o

自動化服務部署(三)Linux安裝Git

ima yum lan 參考 lease 指令 mage sta shu Git是一個開源的分布式版本控制系統,可以有效、高速的處理從很小到非常大的項目版本管理,是目前使用範圍最廣的版本管理工具。 這篇博客,介紹下Linux下安裝Git的步驟,僅供參考,當然,還是yum安裝

WindowsGit使用報錯warningLF will be replaced by CRLF in

In 就是 strong add git add 使用 操作 lob -- 出現上面那個警告的原因是:   windows中的換行符為CRLF,而Linux下的換行符為LF(使用Git命令行Git Bash,實際上就是相當於linux環境),所以在執行git add xxx

網易技術分享Nginx快取引發的跨域慘案

1. 前言 貴金屬wap版直播間上線後,偶爾有使用者反饋,在進入wap直播間的時候,出現空白頁面,但是重新重新整理又可以正常顯示了。我們曾一度認為是網路請求異常或相容問題,直到開發PC版直播間,在進行除錯中,同樣遇到了“白屏”問題,才引起了足夠重視,並進行了問題跟蹤與分析。現在跟大家分享一下,這種偶然現象出

10年反黑風雲Linux安全攻防實錄

作者簡介:韓方 歡聚時代(YY直播)  安全中心總監 公司T4技術專家,10年以上安全領域的攻防研究和設計開發工作,對於平臺安全、應用安全、業務安全等安全領域有非常深入的研究,申請過多項安全領域相關技術專利,並發表過多篇安全領域學術文章。 曾先後主導設計和開發雲防 DDOS 系統、分散式 Web

人人都能成為安全防範的高手 ——《黑客新型攻擊防範深入剖析犯罪軟體》

人人都能成為安全防範的高手 ——《黑客新型攻擊防範:深入剖析犯罪軟體》 過去,人們認為惡意軟體是一種純粹的技術威脅,它主要依靠技術漏洞實現感染。創作者開發它們往往是出於好奇心理,有時則是為了與其他惡意軟體創作者比試高低。 《黑客新型攻擊防範:深入剖析犯罪軟體》 提請

Windows Nginx + PHP5 的安裝與配置

Nginx 是一個輕量級的高效能 Http WebServer,以事件驅動方式編寫,因此相比 Apache 而言,Nginx 更加穩定、效能更好,而且配置簡單,資源佔用較低。以下是我在 Windows 7 安裝中 Nginx 和 PHP5.2 的步驟。 安裝 PHP5 首先,從 http://www.php.

WindowsGit使用報錯warningLF will be replaced by CRLF in ××××.××

Windows 下 Git 使用 git add 命令報錯: warning:LF will be replaced by CRLF in ××××.×× The file will have its original line endings in

[Git]不給Github交保護費CentOS的私人Git的搭建方法

這篇文章可以結合我上一篇文章來看,也就是搭建ECS伺服器的教程: 1.首先安裝git 安裝前試著用下面這行命令看看你的伺服器上裝沒裝git,如果沒裝,再去安裝: git --version安裝指令: yum install -y git 2.建立Git管理使用者,

分享 去掉linux git push時…

在~/下, touch建立檔案 .git-credentials, 用vim編輯此檔案,輸入內容格式: [email protected] ~ $touch .git-credentials [email protected] ~ $vim .git-credentials 在

Nginx的Yii異常Application runtime path is not valid.

把runtime的許可權設為777,發現問題依然存在。 則有可能是SELinux的問題,關閉SELinux,問題解決。 檢視SELinux狀態: /usr/sbin/sestatus -v 

悠然亂彈開源中國GIT中Java分類TOP10專案的活動情況分析

TOP 10 ThinkGem / JeeSite 專案GIT情況統計 從上面看到,總共參與的貢獻者有15個人,10個以上提交者有3個,最近1個月一個提交也沒有。預設分支檔案總數有5490。 從這裡可以看出,專案規模比較大。總共的提交數是243個,說明整體活動情況還不錯,但是現在的活動性在下降

NginX之一window安裝部署與配置負載均衡

下載完成,比如放在C盤根目錄下: cd c:\ unzip nginx-1.15.3.zip //解壓檔案 cd nginx-1.15.3 //進入目錄 start nginx //啟動服務 此時視窗一閃而過,如何檢測服務是否啟動了呢?(中文路徑可能有問題) 執行t

【Linux(CentOS7)應用的安裝部署】六、git客戶端安裝

git --version檢測到我的環境自帶的git版本,先解除安裝低版本的git。 使用命令:yum remove git解除安裝git 從官網上下載的git     官網地址https://git-scm.com/ 安裝依賴 yum install curl

Android靜態安全檢查(十三)板使用檢測

Android剪下板使用風險Android剪下板是可以暫存資料,剪下板在後臺起作用,存放在記憶體中。如果把隱私資料,特別是密碼,存放在剪下板中是不安全的,因為任何的應用程式都可以訪問剪下板中的資料。如果一個惡意應用,註冊了系統剪下板的監聽器事件,當剪下板資料發生變化的時候,就

伺服器入門docker的叢集操作,docker+nginx+springboot+redis+mysql。

今天搞了一天的伺服器,從零開始,最終將我的專案搭起來了。本文將一步步帶新手走進伺服器運維的道路。傳統伺服器搭建:全手動:傳統的java伺服器搭建有傳說中的LNMT,即linux+nginx+mysql+tomcat(tomcat的啟動需要jdk,所以就將jdk歸入tomcat