Abo
  • Services:
Anzeige
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Websicherheit: Riskante Git-Verzeichnisse

Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen.
Es spricht nichts dagegen, Git zur Verwaltung von Webseiten zu nutzen - aber man muss bei der Serverkonfiguration aufpassen. (Bild: Git-Logo)

Viele Webseitenbetreiber nutzen das Versionsverwaltungssystem Git, um den Code ihrer Seite zu pflegen. Das kann zum Sicherheitsproblem werden, wenn die Git-Daten öffentlich abrufbar sind.

Anzeige

Versionsverwaltungssysteme wie Git sind heute fast überall, wo Code geschrieben wird, im Einsatz. Auch Webentwickler nutzen Git gerne, um ihre Projekte zu verwalten. Doch dabei kann ein unerwartetes Sicherheitsproblem auftreten: Wenn der Zugriff auf die Daten des Git-Repositories öffentlich möglich ist, können Angreifer unter Umständen sensible Daten abgreifen.

Öffentlich abrufbare .git-Verzeichnisse

In jedem Git-Repository gibt es ein Unterverzeichnis .git, in dem sich in codierter Form Metadaten und alle Änderungen des Repositories in der Vergangenheit befinden. In einem Blogeintrag berichtete der IT-Sicherheitsexperte Jamie Brown, dass er Tausende von Webseiten fand, bei denen man öffentlich übers Web diese Verzeichnisse abrufen konnte. Testen lässt sich das einfach: In jedem .git-Verzeichnis befindet sich eine Datei config. Wenn eine URL der Form http://www.beispiel.de/.git/config abrufbar ist, dann ist das Git-Repository öffentlich zugänglich.

In vielen Fällen ist das ein Sicherheitsproblem. So können beispielsweise Datenbankzugänge oder andere Zugangsdaten im Git-Repository abgelegt sein oder Informationen, die nur nach einem Login zugänglich sein sollen. Jamie Brown fand nach eigenen Angaben auf der Webseite einer Menschenrechtsorganisation eine Datei, die die vollständigen Adressen aller Unterzeichner einer Petition für die Rechte von Homosexuellen enthielt. Ebenfalls ein Problem sein kann, dass manchmal in den Git-Konfigurationsdateien direkt Zugangsdaten für das Repository abgelegt sind. Damit könnte ein Angreifer dann den Code der Webseite direkt ändern. In manchen Fällen können die Git-Daten auch harmlos sein, beispielsweise wenn es sich um den Checkout eines Content-Management-Systems handelt, dessen Quellcode sowieso frei verfügbar ist.

Um Daten aus dem Git-Repository zu extrahieren, muss man die dazugehörigen Dateien finden und herunterladen. Einfach ist dies, wenn das Directory-Listing auf dem entsprechenden Webserver aktiviert ist. Doch auch mit deaktiviertem Directory-Listing lassen sich die Dateien abrufen. Die Betreiber der Webseite Internetwache haben das Problem ebenfalls analysiert und Tools geschrieben, mit denen sich in dem Fall sämtliche Dateien eines Git-Repositories anhand der Metadaten finden und herunterladen lassen.

Das Team der Internetwache hat die laut der Webseite Alexa beliebtesten eine Million Webseiten geprüft. 9.700 davon hatten ein öffentlich abrufbares Git-Repository, also knapp ein Prozent. Die Internetwache-Betreiber haben auch einige Statistiken erstellt und fanden beispielsweise heraus, dass etwa ein Zehntel der Webseitenbetreiber ihre Repositories über unverschlüsselte Protokolle verwalten. Aus Sicherheitsgründen sollte man hier entweder HTTPS oder SSH nutzen.

Auch Subversion kann zum Risiko werden

Circa 900 Systeme hatten laut Internetwache ein abrufbares Subversion-Repository. Für Subversion und andere Versionsverwaltungssysteme existiert dasselbe Problem wie bei Git, nur kommen diese Systeme deutlich seltener zum Einsatz. Auch für diese Systeme findet man auf Github Tools, mit denen man die entsprechenden Verzeichnisse herunterladen kann.

Betroffen waren laut dem Scan der Internetwache in Deutschland unter anderem die Webseite der Grünen und die Mitfahrzentrale mitfahrgelegenheit.de. Wir hatten vorab die Betreiber beider Seiten informiert und die entsprechenden Verzeichnisse sind nun gesperrt. Auch der Zahlungsanbieter Popcash hat nach unserem Hinweis den Zugriff gesperrt. Die Webseite Mystart hat auf unsere Mail nicht reagiert, dort ist das Git-Repository weiterhin abrufbar.

Wer Git oder ein anderes Versionsverwaltungssystem zum Deployment der eigenen Webseite nutzt, sollte entweder dafür sorgen, dass sich das jeweilige Verzeichnis außerhalb des Webroots befindet oder den Zugriff darauf sperren. Eine mögliche Konfiguration, um im Apache-Webserver den Zugriff auf alle Git- und Subversion-Repositories zu unterbinden, könnte etwa so aussehen:

<DirectoryMatch ".*/\.(git|svn)/.*">
  Require all denied
</DirectoryMatch>

Neu ist das Problem übrigens nicht. Immer wieder haben Webentwickler und Sicherheitsforscher in der Vergangenheit auf das Risiko hingewiesen. Scheinbar ist das aber nicht bei allem Webseitenbetreibern angekommen.


eye home zur Startseite
_Pluto1010_ 30. Jul 2015

Glaub mir sowas wird gemacht :-/ Ich gebe dir absolut Recht - sowas ist völlig am Ziel...

Iruwen 29. Jul 2015

Sowas gehört trotzdem in der Regel nicht ins Repository. Wenn das an anderer Stelle...

Iruwen 29. Jul 2015

Alternativ: RedirectMatch 404 /\.(git|svn)

Baron Münchhausen. 29. Jul 2015

- Wer macht noch Apps/Seiten, bei denen der document root im root des "Projektes" ist? Da...

Niantic 29. Jul 2015

viele editoren legen beim speichern backups der vorherigen version ab. diese werden auch...



Anzeige

Stellenmarkt
  1. MVV EnergySolutions GmbH, Berlin
  2. W&W Informatik GmbH, Ludwigsburg
  3. Swyx Solutions AG, Dortmund
  4. AKDB Anstalt für kommunale Datenverarbeitung in Bayern, Regensburg


Anzeige
Top-Angebote
  1. 439€ + 5,99€ Versand (Bestpreis!)
  2. 27,99€ + 5,99€ Versand (Bestpreis!)
  3. 16,99€

Folgen Sie uns
       


  1. Gnome

    Freiheit ist mehr als nur Code

  2. For Honor

    Samurai, Wikinger und Ritter bekommen dedizierte Server

  3. Smartphones

    Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen

  4. Docsis 3.0

    Huawei erreicht 1,6 GBit/s mit altem Kabelnetzstandard

  5. Tasty One Top

    Buzzfeed stellt vernetzte Kochplatte vor

  6. Automated Valet Parking

    Lass das Parkhaus das Auto parken!

  7. Log-in-Allianz

    Prosieben, GMX und Zalando starten Single-Sign-on-Dienst

  8. Andreas Kaufmann

    Leica-Chef träumt vom eigenen Kamera-Smartphone

  9. Elektromobilität

    Porsche kommt in die Formel E

  10. Keylogger

    Arbeitgeber dürfen Mitarbeiter nicht generell ausspähen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ausprobiert: JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
Ausprobiert
JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent
  1. Google KI erstellt professionelle Panoramen
  2. Bildbearbeitung Google gibt Nik Collection auf

Kryptowährungen: Bitcoin steht vor grundlegenden Änderungen
Kryptowährungen
Bitcoin steht vor grundlegenden Änderungen
  1. Geldwäsche Mutmaßlicher Betreiber von BTC-e angeklagt und festgenommen
  2. Linux-Distributionen Mehr als 90 Prozent der Debian-Pakete reproduzierbar
  3. Kryptowährung Bitcoin notiert auf neuem Rekordhoch

Matebook X im Test: Huaweis erstes Ultrabook glänzt
Matebook X im Test
Huaweis erstes Ultrabook glänzt
  1. Porsche Design Huaweis Porsche-Smartwatch kostet 800 Euro
  2. Smartphone Neues Huawei Y6 für 150 Euro bei Aldi erhältlich
  3. Matebook X Huaweis erstes Notebook im Handel erhältlich

  1. Re: Da ist die problematische Grundhaltung

    Seitan-Sushi-Fan | 14:52

  2. Re: Das Problem von Anwesenheitsarbeit im Büro

    Abdiel | 14:50

  3. Re: Gnome wurde für tot gehalten...

    Seitan-Sushi-Fan | 14:50

  4. Re: Preis/Leistungsverhältnis ähnlich zum G4560...

    Der Held vom... | 14:49

  5. Re: Mach deinen Scheiß doch mal selbst.

    PULARITHA | 14:48


  1. 14:02

  2. 13:44

  3. 13:00

  4. 12:45

  5. 12:29

  6. 11:58

  7. 11:47

  8. 11:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel