V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Chappako
V2EX  ›  问与答

叔叔因项目目录内有 .git 目录给出处罚

  •  
  •   Chappako · 122 天前 · 15870 次点击
    这是一个创建于 122 天前的主题,其中的信息可能已经有所发展或是发生改变。
    帮朋友做的项目,放在阿里云

    前些天收到吉林东少数民族州叔叔的处罚决定书,执行方式为当场训诫,并要求整改

    原因是,项目文件夹中找到了 Git 的元数据目录(Git),攻击者可以通过请求 Git(版本控制工具)创建的隐藏元数据目录来提取敏感信息或下载源码

    目前已删除项目下 .git 目录,并提交了整改报告

    想问一下,其他地方也有这种操作么
    120 条回复
    1  2  
    Leon777
        101
    Leon777  
       122 天前
    中国人是却管的,我去试试把.git 传 github 上有没有美国警察来找我
    falcon05
        102
    falcon05  
       122 天前 via iPhone
    这帮孙子管得太宽了,哪天家里没锁门也要去喝茶,再写个整改报告,外加罚款一万。
    privil
        103
    privil  
       122 天前
    @sorcerer #97 是,感觉还是外部 URL 访问到了。PHP 出个目录穿越访问的漏洞确实比较常见。
    twl007
        104
    twl007  
       122 天前 via iPhone
    管的真宽
    y1y1
        105
    y1y1  
       122 天前
    延吉?管的真宽
    M003
        106
    M003  
       122 天前
    单位电脑里什么员工/客户/手机号,身份证号保存 Excel,没有脱敏 / 登录系统密码简单 / 甚至酒店里访客登记本,摆桌子上. 这都是处罚的点..
    M003
        107
    M003  
       122 天前
    @cppgohan 会给开出行政处罚通知书. KPI
    hujun528
        108
    hujun528  
       122 天前
    @zhw2590582 当然是钱啊
    tairan2006
        109
    tairan2006  
       122 天前 via Android
    你要学会 git archive 命令
    mzmssg
        110
    mzmssg  
       122 天前
    警察要做的是防患于未然,而不是事后追责。

    备案了就有可能对外提供服务,假设出了篓子,按国人的风格必然又要国家出来擦屁股。

    简单但不严格的类比:装修砸了承重墙(网站密码泄露),连带他人房屋受损(银行账户被盗),个人承担不了后果,还得国家掏钱加固(追捕盗号者)。
    leconio
        111
    leconio  
       122 天前 via iPhone
    感谢分享,立刻整改
    smlcgx
        112
    smlcgx  
       122 天前 via iPhone
    哈哈,他不是某个组织的意志,而是有广泛群众基础的,是一种群体意识
    EriczzZ
        113
    EriczzZ  
       122 天前
    哥们我想知道怎么训诫的?
    kneep
        114
    kneep  
       122 天前
    这种操作是指什么?是指把.git 放出去?还是指处罚?
    jay4497
        115
    jay4497  
       122 天前
    一直以为 OP 的叔叔(亲人意义)被处罚了呢,看评论都看迷糊了,多翻了翻才意识过来,哈哈哈哈,哎,脑子真不中用了。。。
    xiyuesaves
        116
    xiyuesaves  
       122 天前
    确实会有网警时不时来给你的网站找漏洞,不过只是要求整改和提交一份整改报告就行了
    winterx
        117
    winterx  
       122 天前
    有公网备案的企业,叔叔是会管的,而且不定期扫描公司备案的 IP ,看有没有漏洞
    ghjh
        118
    ghjh  
       122 天前
    啊,公司老项目服务器时不时会收到整改单)
    ghjh
        119
    ghjh  
       122 天前
    @ghjh 那项目漏得跟筛子一样。
    不过感觉还是扫网扫到的,OP 虽然觉得外面访问不到 .git ,但是实际可能配置有问题被暴露了
    justfindu
        120
    justfindu  
       122 天前
    你这是漏洞啊 不是光因为.git
    只是责令整改, 有些都是要罚钱的, 如果真的被弄了信息, 罚的超级重. 企业 100 万以下, 责任人 1-10 万, 很多情况都是顶格
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:22 · PVG 09:22 · LAX 17:22 · JFK 20:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.