Abo
  • Services:

Websicherheit: Riskante Git-Verzeichnisse

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

Artikel veröffentlicht am , Hanno Böck
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Versionsverwaltungssysteme wie Git sind heute fast überall, wo Code geschrieben wird, im Einsatz. Auch Webentwickler nutzen Git gerne, um ihre Projekte zu verwalten. Doch dabei kann ein unerwartetes Sicherheitsproblem auftreten: Wenn der Zugriff auf die Daten des Git-Repositories öffentlich möglich ist, können Angreifer unter Umständen sensible Daten abgreifen.

Öffentlich abrufbare .git-Verzeichnisse

Stellenmarkt
  1. SCHOTT AG, Mainz
  2. DR. JOHANNES HEIDENHAIN GmbH, Traunreut (Raum Rosenheim)

In jedem Git-Repository gibt es ein Unterverzeichnis .git, in dem sich in codierter Form Metadaten und alle Änderungen des Repositories in der Vergangenheit befinden. In einem Blogeintrag berichtete der IT-Sicherheitsexperte Jamie Brown, dass er Tausende von Webseiten fand, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen lässt sich das einfach: In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

In vielen Fällen ist das ein Sicherheitsproblem. So können beispielsweise Datenbankzugänge oder andere Zugangsdaten im Git-Repository abgelegt sein oder Informationen, die nur nach einem Login zugänglich sein sollen. Jamie Brown fand nach eigenen Angaben auf der Webseite einer Menschenrechtsorganisation eine Datei, die die vollständigen Adressen aller Unterzeichner einer Petition für die Rechte von Homosexuellen enthielt. Ebenfalls ein Problem sein kann, dass manchmal in den Git-Konfigurationsdateien direkt Zugangsdaten für das Repository abgelegt sind. Damit könnte ein Angreifer dann den Code der Webseite direkt ändern. In manchen Fällen können die Git-Daten auch harmlos sein, beispielsweise wenn es sich um den Checkout eines Content-Management-Systems handelt, dessen Quellcode sowieso frei verfügbar ist.

Um Daten aus dem Git-Repository zu extrahieren, muss man die dazugehörigen Dateien finden und herunterladen. Einfach ist dies, wenn das Directory-Listing auf dem entsprechenden Webserver aktiviert ist. Doch auch mit deaktiviertem Directory-Listing lassen sich die Dateien abrufen. Die Betreiber der Webseite Internetwache haben das Problem ebenfalls analysiert und Tools geschrieben, mit denen sich in dem Fall sämtliche Dateien eines Git-Repositories anhand der Metadaten finden und herunterladen lassen.

Das Team der Internetwache hat die laut der Webseite Alexa beliebtesten eine Million Webseiten geprüft. 9.700 davon hatten ein öffentlich abrufbares Git-Repository, also knapp ein Prozent. Die Internetwache-Betreiber haben auch einige Statistiken erstellt und fanden beispielsweise heraus, dass etwa ein Zehntel der Webseitenbetreiber ihre Repositories über unverschlüsselte Protokolle verwalten. Aus Sicherheitsgründen sollte man hier entweder HTTPS oder SSH nutzen.

Auch Subversion kann zum Risiko werden

Circa 900 Systeme hatten laut Internetwache ein abrufbares Subversion-Repository. Für Subversion und andere Versionsverwaltungssysteme existiert dasselbe Problem wie bei Git, nur kommen diese Systeme deutlich seltener zum Einsatz. Auch für diese Systeme findet man auf Github Tools, mit denen man die entsprechenden Verzeichnisse herunterladen kann.

Betroffen waren laut dem Scan der Internetwache in Deutschland unter anderem die Webseite der Grünen und die Mitfahrzentrale mitfahrgelegenheit.de. Wir hatten vorab die Betreiber beider Seiten informiert und die entsprechenden Verzeichnisse sind nun gesperrt. Auch der Zahlungsanbieter Popcash hat nach unserem Hinweis den Zugriff gesperrt. Die Webseite Mystart hat auf unsere Mail nicht reagiert, dort ist das Git-Repository weiterhin abrufbar.

Wer Git oder ein anderes Versionsverwaltungssystem zum Deployment der eigenen Webseite nutzt, sollte entweder dafür sorgen, dass sich das jeweilige Verzeichnis außerhalb des Webroots befindet oder den Zugriff darauf sperren. Eine mögliche Konfiguration, um im Apache-Webserver den Zugriff auf alle Git- und Subversion-Repositories zu unterbinden, könnte etwa so aussehen:

<DirectoryMatch ".*/\.(git|svn)/.*">
  Require all denied
</DirectoryMatch>

Neu ist das Problem übrigens nicht. Immer wieder haben Webentwickler und Sicherheitsforscher in der Vergangenheit auf das Risiko hingewiesen. Scheinbar ist das aber nicht bei allem Webseitenbetreibern angekommen.



Anzeige
Blu-ray-Angebote
  1. (u. a. Deadpool, Alien Covenant, Assassins Creed)
  2. 4,99€
  3. (2 Monate Sky Ticket für nur 4,99€)

_Pluto1010_ 30. Jul 2015

Glaub mir sowas wird gemacht :-/ Ich gebe dir absolut Recht - sowas ist völlig am Ziel...

Iruwen 29. Jul 2015

Sowas gehört trotzdem in der Regel nicht ins Repository. Wenn das an anderer Stelle...

Iruwen 29. Jul 2015

Alternativ: RedirectMatch 404 /\.(git|svn)

Baron Münchhausen. 29. Jul 2015

- Wer macht noch Apps/Seiten, bei denen der document root im root des "Projektes" ist? Da...

Niantic 29. Jul 2015

viele editoren legen beim speichern backups der vorherigen version ab. diese werden auch...


Folgen Sie uns
       


Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus

Huaweis neues P20 Pro hat gleich drei Kameras auf der Rückseite. Diese ermöglichen nicht nur eine Porträtfunktion, sondern auch einen dreistufigen Zoom. Mit ihren KI-Funktionen unterstützt die Kamera des P20 Pro den Nutzer bei der Aufnahme.

Kameravergleich P20 Pro, Xperia XZ2, Galaxy S9 Plus Video aufrufen
NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

Datenschutz: Der Nutzer ist willig, doch die AGB sind schwach
Datenschutz
Der Nutzer ist willig, doch die AGB sind schwach

Verbraucher verstehen die Texte oft nicht wirklich, in denen Unternehmen erklären, wie ihre Daten verarbeitet werden. Datenschutzexperten und -forscher suchen daher nach praktikablen Lösungen.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Soziales Netzwerk Facebook ermöglicht Einsprüche gegen Löschungen
  2. Soziales Netzwerk Facebook will in Deutschland Vertrauen wiedergewinnen
  3. Denial of Service Facebook löscht Cybercrime-Gruppen mit 300.000 Mitgliedern

    •  /